Vous êtes sur la page 1sur 55

curso de Fundamentos de COBIT!

Empresas e TI
Atualmente as empresas, de um modo geral, esto com seus processos internos cada vez mais
dependentes de recursos de Tecnologia da Informao (TI), o que implica em uma
necessidade cada vez maior de fazer uma gesto sobre os riscos em TI para no comprometer a
continuidade do negcio.
Alm disso, e possvel observar que em empresas de pequeno, mdio ou grande porte, nacionais
ou multinacionais, a dependncia da TI to significativa a ponto de se tornar praticamente
invivel pensar na operao do negcio sem considerar os recursos tecnolgicos envolvidos.
TI: diferencial competitivo
H casos, nos mais diversos segmentos de mercado, onde a TI integra-se totalmente ao negcio a
ponto de que isso se torne um diferencial competitivo no mercado e assegura o futuro da
empresa.
O segmento bancrio um excelente exemplo onde a tecnologia se tornou vital para o negcio da
empresa.
Partindo desta anlise fica evidente que a gesto sobre os riscos de TI fundamental para
assegurar a continuidade dos negcios.

Conceito
Segundo o dicionrio Houaiss, risco :
"A probabilidade de insucesso, de malogro de determinada coisa, em funo de acontecimento
eventual, incerto, cuja ocorrncia no depende exclusivamente da vontade dos interessados.
Trazendo este conceito a realidade de mercado, do ponto de vista de gesto empresarial
necessrio considerar, no mnimo, risco de mercado, de crdito, legal e operacional, sendo que
podemos definir o clculo do risco como a tentativa de se medir o grau de incerteza na
obteno do retorno esperado em uma determinada aplicao financeira ou investimento
realizado.
Falta de gesto de riscos

A TI deixou de lado o papel de dar suporte ao negcio e, principalmente na rea financeira, se


tornou a estratgia do prprio negcio. O nvel de dependncia de tecnologia para o mercado
financeiro algo muito difcil de ser mensurado, no entanto, se entendermos que a TI um
conjunto estrutural na qual a empresa depende para realizar suas atividades, o nvel
dedependncia 100%.
Este quadro deixa evidente a necessidade das empresas em estabelecer e implementar
mecanismos de controle, no s no que diz respeito gesto de riscos, como tambm pelo fato de
que estas esto sujeitas a legislao e regulamentao existente para o mercado nacional ou
internacional, e exatamente respondendo a este tipo de necessidade que o COBIT pode ser
aplicado.
Gerenciando os Riscos
A TI est incorporada pelo negcio de tal maneira que agora, caso os servios de TI sejam
interrompidos por qualquer que seja o motivo, as operaes da empresa so impactadas de uma
maneira a trazerimpactos financeiros nos resultados.
Outro desafio que os CIOs esto enfrentando atualmente a necessidade de reduzir
custose gerenciar riscos de modo que eventuais falhas na infraesturutra de TI no tenham
impacto para o negcio.
A dependncia cada vez
investimentos em projetos
conselho de administrao
nos projetos, alm de
infraestrutura de TI.

maior do negcio em relao aos servios de TI gerou grandes


e processos, de modo que o CIO recebe forte presso do CEO e do
para minimizar custos operacionais por meio de uma melhorgesto
gerenciar adequadamente os riscos relacionados amudanas na

Gesto de riscos
Neste mdulo voc aprendeu que as melhores prticas descritas na ITIL so to relevantes que
se tornaram um padro de fato no mercado de TI.
Seus conceitos so aplicados nos nveis operacional e ttico e permitem que a rea de TI
estruture o ciclo de vida de seus servios como um todo, de modo a alcanar excelncia
operacional.
J o framework do COBIT focado no nvel estratgico e, por se tratar de um framework de
controle, possibilita que a TI tenha seu desempenho mensurado e seus riscos devidamente
apontados e tratados.
Sendo assim, estudaremos toda a estrutura do COBIT nos mdulos seguintes.
Introduo ao COBIT
COBIT Control Objectives for Information and Related Technology
Objetivos de Controle para Informaes e Tecnologias Relacionadas
O COBIT, atualmente na verso 4.1, um framework de controle que se tornou mundialmente
aceito nas empresas em funo dos benefcios que proporciona.
Diferente do framework do COSO, que um modelo de controle genrico, O COBIT focado
unicamente em TI e sua estrutura oferece uma base slida para se estabelecer um modelo de
governana de TI.
A misso apresentada no COBIT 4.1 (2007, p.13) :

!Pesquisar, desenvolver, publicar e promover um conjunto de objetivos de controle para


tecnologia que seja embasado, atual, internacional e aceito em geral para o uso do dia-a-dia
de gerentes de negocio e auditores

COBIT - Framework
Ao estudar o framework do COBIT com maior profundidade possvel identificar que ele especifica
os objetivos de controle, mas no detalha como os processos podem ser definidos.
O COBIT no um padro, no uma norma como a ISO 20.000, ISO 17.799 ou ISO 9.001, e ele
tambm no serve como guia para maximizar os benefcios da TI.
Em vez disso, o COBIT ajuda a direcionar ou priorizar os esforos e recursos da TI para atender
aos requisitos do negcio. A adoo do COBIT no tem como meta controlar todos os processos,
mas apenas identificar quais processos da TI esto impactando, ou gerando riscos para o negcio,
de modo a priorizar o gerenciamento destes processos.
O framework de controle do COBIT segue a premissa que no possvel gerenciar aquilo que no
se mede. Desta forma ele prope uma srie de objetivos de controle e seus respectivos
indicadores de desempenho.
Modelo
O modelo tambm considera que a TI precisa entregar a informao que a empresa precisa
para alcanar os seus objetivos de negcio.
Alm disso, possvel identificar tambm que o COBIT compatvel com outros padres de
mercado, pois ele se posiciona em um nvel genrico, abrangendo vrios processos de TI,
definindo os objetivos de cada um e como devem ser controlados. No entanto, o COBIT no foca
em como cada processo deve ser implementado, sendo exatamente este o motivo que o leva a ser
compatvel ou complementar a outros modelos existentes.
O framework do COBIT foi criado tendo como principais caractersticas o foco no negcio, a
orientao a processos, ser baseado em controles e direcionado por mtricas.
Adotar COBIT ajuda uma empresa a implementar boas prticas em governana de TI, pois ele
oferece um guia de melhores prticas e direcionamento.
Sua estrutura classifica os processos em 4 domnios, e apresenta atividades em uma estrutura
gerencivel e lgica.
Prticas do COBIT
As boas prticas do COBIT representam um consenso entre especialistas no que diz respeito a
Governana de TI, pois seu framework extremamente focado no controle e pouco focado na
execuo.
Estas prticas ajudam a otimizar os investimentos em TI, assegurando a entrega do servio e
fornecendo uma mensurao que possibilita identificar a performance de cada objetivo de controle
e, como consequncia, tomar aes gerenciais para mitigar riscos e atingir os resultados
desejados.
O COBIT independente da plataforma de TI adotada nas empresas, tambm totalmente
independente do tipo de negcio e do valor e participao que a tecnologia da informao tem na
cadeia produtiva da empresa.

As boas prticas do COBIT representam um consenso entre especialistas no que diz respeito a
Governana de TI, pois seu framework extremamente focado no controle e pouco focado na
execuo.
Estas prticas ajudam a otimizar os investimentos em TI, assegurando a entrega do servio e
fornecendo uma mensurao que possibilita identificar a performance de cada objetivo de controle
e, como consequncia, tomar aes gerenciais para mitigar riscos e atingir os resultados
desejados.
O COBIT independente da plataforma de TI adotada nas empresas, tambm totalmente
independente do tipo de negcio e do valor e participao que a tecnologia da informao tem na
cadeia produtiva da empresa.
Descrio
H alguns anos, o mercado de TI tinha uma tendncia de buscar alinhamento ao negcio. Dentro
deste contexto, a TI tinha foco ttico e operacional e normalmente era tratada como um centro de
custo. Seu papel era dar suporte a estratgia de negcio e precisava ser gil.
Porm, o mercado atual mostra que agilidade e alinhamento so importantes, mas no so
suficientes, a TI precisa ser um meio de ativao para a empresa, ela passa a ser parte da
estratgia de negcios, funciona totalmente orientada a servios de modo que a rea de TI acabe
alavancando vantagem competitiva.
O Mdulo I deste curso mostra que para negociar papis na Bolsa de Nova Yorque (NYSE) as
empresas precisam se adequar as exigncias da lei Sarbanes-Oxley (SOX). Esta, por sua vez,
determina a criao do Public Company Accounting Oversight Board (PCAOB), ou seja, um
Conselho de Auditores de Companhias Abertas.
O PCAOB tem como misso estabelecer as normas de auditoria, controle de qualidade, tica e
independncia em relao aos processos de inspeo e a emisso dos relatrios de auditoria.
Recomendaes
No que diz respeito a governana de TI, o COBIT framework de controle para processos de TI
que melhor atende as exigncias do COSO.
O framework do COBIT, por sua vez, est situado em um nvel mais estratgico e sugere o uso
de outros frameworks que podem ser vistos como complementares e necessrios para que se
estabelea um modelo de governana de TI.
Comparao
As caractersticas do COBIT o deixam posicionado em um nvel mais estratgico quando
comparado a outros frameworks, normas ou padres que se complementam, a figura acima ilustra
o posicionamento e os pontos de integrao do COBIT em relao a outros modelos.
Cabe aos executivos avaliar qual o melhor modelo para atender as necessidades de negcio de
suas empresas, mas evidente que a regulamentao externa (SOX/Basilia II) direciona
fortemente a adoo do COBIT em suas prticas de governana de TI.
Um fator extremamente significativo o que o COBIT, por ser um framework de controle de alto
nvel, aponta o que deve ser controlado, mas no diz como fazer. Ele se encaixa perfeitamente
com as melhores prticas para gesto de servios de TI descritas na IT Infrastructure
Library (ITIL), que tem foco mais ttico e operacional em relao aos processos internos de TI.

Inmeros modelos, referncias e guias de melhores prticas podem ser adotados para estabelecer
um modelo de governana de TI para as organizaes.

Framework Cobit
Os frameworks do COBIT e do ITIL se
complementam e cobrem grande parte
dos aspectos da organizao da TI, de
modo
que
quando
as
prticas
estabelecidas em cada modelo so
adotadas pelas organizaes de TI, em
seus processos internos, o risco
operacional de TI reduzido de
maneira significativa.
vlido aproveitar este momento e destacar que para tratar da gesto de riscos em TI na sua
totalidade, necessrio tambm tratar os riscos em projetos de TI.
O foco deste estudo para o gerenciamento de projetos de TI so as prticas descritas no Project
Management Body of Knowledge (PMBOK) publicado e mantido pelo Project Management
Institute (PMI).
Tecnologia da informao
Tudo isso visa fazer com que a TI se torne um parceiro estratgico para que as empresas possam
alcanar seus objetivos de negcio.
A Tecnologia da Informao relativamente nova se comparada a Engenharia, Arquitetura,
Medicina ou Advocacia, no entanto, o conjunto de melhores prticas que ser apresentado a
seguir vem passando por um ciclo de melhoria contnua cujos resultados positivos vem sendo
comprovados pelo marcado h pelo menos 10 anos.

Caracteristicas do COBIT

Como dito anteriormente, o framework de controle do COBIT parte da premissa que no


possvel gerenciar aquilo que no se mede. Desta forma ele prope uma srie de objetivos de
controle e seus respectivos indicadores de desempenho.
O modelo tambm considera que a TI precisa entregar a informao que a empresa precisa para
alcanar os seus objetivos de negcio.
Alm disso, o COBIT compatvel com outros padres de mercado pois ele se posiciona em um
nvel genrico, abrangendo vrios processos de TI, definindo os objetivos de cada um dos
processos e como devem ser controlados.
O COBIT no foca em como cada processo deve ser implementado, sendo exatamente este o
motivo que o leva a ser compatvel ou complementar a outros modelos existentes.
Foco do COBIT
Sua estrutura classifica os processos em 4 domnios, e apresenta atividades em uma estrutura
gerencivel e lgica.
As boas prticas do COBIT representam um consenso entre especialistas, pois seu framework
extremamente focado no controle. Estas prticas ajudam a otimizar os investimentos em TI,
assegurando a entrega do servio e fornecendo uma mensurao que possibilita identificar a
performance de cada objetivo de controle e, como consequncia, tomar aes gerenciais para
mitigar riscos e atingir os resultados desejados.
Objetivos do COBIT
O COBIT independente da plataforma de TI adotada nas empresas, tambm totalmente
independente do tipo de negcio e do valor e participao que a tecnologia da informao tem na
cadeia produtiva da empresa.
O framework do COBIT hoje uma referncia mundial utilizado na avaliao de controles e
maturidade de processos de TI e, por esta razo, tem sido adotado em diversos projetos de
governana de TI.
Objetivos do COBIT
O COBIT tem como objetivos:

Ser um padro aceito nas melhores prticas de governana de TI.

aplicar as melhores prticas a partir de um matriz de domnios, processos e atividades


estruturados de forma lgica e gerencivel.

auxiliar na associao entre:

Histrico
O COBIT teve sua primeira publicao realizada em 1996 com foco no controle e anlise dos
sistemas de informao. Sua segunda edio, em 1998, ampliou a base de recursos adicionando o
guia prtico de implementao e execuo. A edio atual (4.1) j sob a coordenao do IT
Governance Institute (ITGI), introduz as recomendaes de gerenciamento de ambientes de TI
dentro de um modelo de maturidade de governana.
O COBIT foi desenvolvido inicialmente pela fundao do Information Systems Audit and
Control Association (ISACA), que uma instituio fundada em 1967, e atualmente mantido
pelo ITGI, cuja fundao ocorreu em 1998.

Estrutura atual
O COBIT chegou a sua estrutura atual contando com um conjunto de contribuies de vrias
empresas eorganismos internacionais, entre eles podemos citar:

Padres tcnicos
EDIFACT, dentre outros.

da

ISO

Cdigos de conduta emitidos


pelo Conselho de Europa, OECD,
ISACA e outros.

Critrios de qualificao para TI


e processos: ITSEC, TCSEC, ISO
9000, SPICE, TickIT dentre outros.

Padres
profissionais
para
controles internos e auditoria, como o
COSO, IFAC, AICPA, CICA, ISACA, IIA,
PCIE, GAO e outros.

Prticas e exigncias dos fruns


da indstria e das plataformas
recomendadas pelos governos (IBAG,
NIST, DTI), etc..

Exigncias
das
indstrias
emergentes como operao bancria,
comrcio eletrnico e engenharia
de software.

Com a dependncia cada vez


maior nos recursos de tecnologia as
organizaes
passam
a
ter
a
necessidade de demonstrar controles
crescentes em segurana.

Desempenho e progresso
Cada organizao deve buscar a compreenso de seu prprio desempenho e deve medir o seu
progresso.
O benchmarking (comparativo) com outras organizaes passa a fazer parte da estratgia das
empresas para conseguir a melhor competitividade em TI.
O COBIT, por meio de suas recomendaes de gerenciamento e com a orientao no modelo de
maturidade em governana, auxilia os gerentes de TI no cumprimento de seus objetivos,
alinhados com os objetivos da organizao.
As diretrizes de gerenciamento do COBIT focam na gerncia por desempenho usando os princpios
doBalanced ScoreCard (BSC).
Vantagens do COBIT
Seus indicadores principais identificam e medem os resultados dos processos, avaliando seu
desempenho e alinhamento com os objetivos dos negcios da organizao.
Adotar o COBIT como modelo de governana torna-se vantajoso por:

Mapear os maiores padres e frameworks de mercado, como o ITIL a ISO 20.000 e a ISO
27.001.

Ajudar a entender os requisitos regulatrios.

Ser compatvel com o COSO quanto ao controle do ambiente de TI.

Definir uma linguagem comum entre TI e o negcio.

Ser focado nos requisitos de negcio.

Ser aceito internacionalmente comoframework de modelo para Governana de TI;.

Ser orientado a processos.

Ser suportado por ferramentas e treinamento.

Estar em desenvolvimento contnuo.

Projeo
O COBIT foi projetado para ser utilizado por trs pblicos distintos.
Administradores podem fazer uso do COBIT para auxili-los na avaliao entre risco, investimento
e controle de ambientes muitas vezes imprevisveis, como o de TI.
Usurios podem utilizar para se certificarem da segurana e dos controles dos servios de TI
fornecidos internamente ou por terceiros.
Por ltimo, mas no menos importante, o COBIT tambm pode ser utilizado por auditores de
sistemas onde serve como subsdio das opinies emitidas ou para prover aconselhamento aos
administradores sobre os controles internos.

Estrutura do COBIT
O princpio da estrutura do COBIT o de prover um link entre as expectativas com as
responsabilidades de gerenciamento de TI. O objetivo facilitar a governana de TI para agregar
valor a TI, por meio do gerenciamento dos riscos de TI.
O princpio do framework derivado de um modelo que mostra a informao com qualidade sendo
produzida por eventos realizados ou executados nos recursos de TI, conforme apresentado na
figura ao lado.
O COBIT um framework e tambm uma base de conhecimento para os processos de TI e o
gerenciamento destes. Ele no um padro definitivo e deve ser adaptado para a realidade de
cada empresa. Trata-se de umframework de controle que tem o propsito de assegurar que os
recursos de TI estaro alinhados com os objetivos da organizao.
O framework tambm baseado na premissa de que a TI precisa entregar informao que a
empresa necessita para atingir seus objetivos, fazendo com que a TI seja mais responsiva ao
negcio.

Componentes do COBIT
praticamente impossvel falar dos componentes do COBIT sem citar o termo conhecido no
mercado como cubo do COBIT.
O conceito de cubo utilizado para representar como os componentes se inter-relacionam, pois
ele ilustra de maneira fidedigna as dimenses e seu respectivo relacionamento.
A figura ao lado ilustra que o framework do COBIT considera a necessidade de relacionar
osprocessos de TI, os recursos de TI e oscritrios de informao, conforme ser tratado a
seguir.

Processos de TI
Uma das faces do cubo do COBIT representa os processos de TI. O framework do COBIT
apresenta aos processos de TI agrupados em 4 domnios, conforme segue:

Planejar e organizar (plan and organize - PO)

Adquiri e implementar (acquire and implement - AI)

Entregar e suportar (deliver and support - DS)

Monitorar e a valiar (monitor and evaluate - ME)

O cubo do COBIT
Como todos os componentes do COBIT esto inter-relacionados, a figura do cubo utilizada para
sumarizar que os recursos de TI so gerenciados pelos processos de TI para alcanar as metas
que correspondem aos requisitos do negcio.

Este o princpio bsico do framework do COBIT, e ilustrado por meio da figura ao lado.
Por meio dele possvel observar que cada um dos 4 domnios e seus 34 objetivos de controle de
alto-nvel consomem Recursos de TI e necessitam atender a requisitos de negcio.
Nos prximos mdulos, veremos como o desdobramento do cubo do COBIT para cada um dos
34 objetivos de controle de alto-nvel.

Metas
O COBIT estabelece metas e mtricas em 3 nveis:
O primeiro nvel trata de objetivos e mtricas de TI que definem o que o negcio espera da TI e
como isso ser medido.
O segundo nvel trata dos objetivos e mtricas que definem o que os processos de
TI devem entregar para suportar os objetivos de TI e como isso ser medido.
O terceiro nvel trata dos objetivos de atividades e respectivas mtricas para estabelecer o
que precisa ocorrer dentro dos processos para alcanar a performance desejada e como mensurar
isso.
Os objetivos de TI so definidos em uma abordagem top-down, onde os objetivos do negcio
vodeterminar o nmero de objetivos de TI que vo suportar o negcio.
Monitoramento e performance
O monitoramento realizado por meio do acompanhamento deindicadores de
resultado(outcome measures), processados aps a execuo dos processos, e Indicadores
de performance(performance indicators), processados durante a execuo dos processos e
utilizados para avaliar e tomar aes corretivas para assegurar que os resultados esperados sejam
alcanados.
Diretrizes de gerenciamento

O framework do COBIT estabelece diretrizes de gerenciamento e estas, por sua vez, sugerem o
uso da metodologia Balanced Score Cards (BSC).
O BSC fornece meios para estabelecer mtricas para alcanar as metas de TI.
A metodologia do BSC v o negcio sob 4 perspectivas, estabelecendo os objetivos estratgicos da
empresa e mapeando suas metas e indicadores de performance, sendo que voc poder ver isso
com maiores detalhes na unidade de estudo de gesto de servios de TI.
Por hora, importante saber que o BSC parte da definio da estratgia da empresa para, em
seguida, estabelecer os objetivos estratgicos que a empresa deve alcanar sob a perspectiva
Financeira, perspectiva do cliente, perspectiva de inovao, aprendizado e crescimento e a
perspectiva de processos internos do negcio.
A estratgia estabelece a direo que a empresa deve seguir, a perspectiva do
cliente trata dos valores que a empresa quer oferecer, ou seja, como ela quer ser vista sob a
percepo do cliente.
Perspectiva de processos internos
J a perspectiva de processos internos estabelece os objetivos estratgicos do que a empresa
deve fazer para conseguir entregar os valores estabelecidos na perspectiva do cliente.
Naturalmente, a perspectiva do aprendizado einovao trata da gesto do conhecimento da
empresa, de clima e cultura e de outros valores essenciais para a sade da empresa.
A quarta perspectiva apresentada a financeira, que naturalmente trata das questes de gesto
financeira da empresa, quais os objetivos estratgicos para o despesas, investimentos e como
assegurar o futuro da empresa.
Diretrizes de gerenciamento
No h uma regra para estabelecer ou definir se h uma perspectiva mais ou menos importante,
todas contm objetivos estratgicos e, portanto, importantes para a empresa.
Ao avaliar os mapas estratgicos de diversas empresas, produzidos dentro dos conceitos da
metodologia do BSC, possvel observar que normalmente a perspectiva do Cliente apresentada
em primeiro lugar quando a cultura da empresa tem o foco principal no cliente.
J quando a cultura da empresa tem como foco principal a obteno de lucro, normalmente
aperspectiva financeira apresentada em primeiro lugar.
O fato que isso realmente no importa, relevante estabelecer quais so os objetivos mais
importantes da empresa, quem ser responsvel por cada um deles (accountability) e como eles
sero mensurados.
Metodologia
Ao avaliar a metodologia do BSC e as diretrizes de gerenciamento existentes no framework do
COBIT, fica evidente que o COBIT v no BSC uma maneira de implementar oconceito
do framework e estabelecer os pontos de controle, trazendo total transparncia as partes
interessadas, ou seja, clientes, parceiros, funcionrios e acionistas da empresa.

Modelos de maturidade
Trata-se de um modelo de referncia que possibilita a empresa avaliar e classificar sua maturidade
para um determinado processo.
O gerenciamento e controle sobre os processos de TI so baseados em um mtodo para avaliar
sua organizao, de modo que ela pode ser classificada em um nvel onde o processo
inexistente (0) at onvel otimizado (5).
Isto possibilita no s fazer comparaes com outras empresas (benchmarking), como tambm
fazer a anlise degap avaliando onde a empresa se encontra, onde o mercado est posicionado e
onde a empresa deseja chegar.
A abordagem dos modelos de maturidade do COBIT deriva do modelo de maturidade da
capacidade
para
desenvolvimento
de software definido
pelo Software
Engineering
Institute (SEI).
Modelo especfico
Embora os conceitos do SEI tenham sido seguidos, a implementao do COBIT difere do modelo
original pois o modelo de maturidade interpretado de acordo com a natureza dos processos de
gerenciamento de TI definidos no COBIT.
Dentro de uma escala genrica com range variando entre 0 e 5, h um modelo especfico
interpretado para cada um dos 34 processos do COBIT.
Em outras palavras, isso permite que a alta administrao identifique exatamente qual o grau de
maturidade que a empresa se encontra em um determinado processo e, na sequncia, faa a
anlise de gap de onde deveria estar para atender aos objetivos do negcio.
Este mecanismo oferece uma maneira consistente para identificar pontos de melhoria e o esforo
necessrio, alm claro, de permitir a comparao de desempenho com outras empresas no
mercado.

Passo-a-passo
Alm das diretrizes de gerenciamento, o COBIT tambm traz um guia passo-a-passo para auxiliar
auditores internos e externos a avaliar a performance da empresa.
Este guia conhecido no COBIT como Diretrizes de Auditoria. A estrutura do processo de
auditoria
geralmente
aceita
pelo
mercado
compreende
o
estgio
ou
etapa
de identificao e documentao, ou seja, a definio do escopo do trabalho. Na sequncia
temos as etapas de avaliao, testes de conformidade e testes substantivos.
A etapa de identificao e documentao visa obter um entendimento dos riscos relacionados
aos requisitos de negcio e medidas de controle relevantes.
J a etapa de avaliao tem como principal objetivo avaliar os controles internos determinados.
Testes
A etapa de testes de conformidade visa avaliar a conformidade testando se os controles
determinados esto funcionando conforme sua definio, consistentemente e continuamente.
E finalmente, a etapa de testes substantivosverifica os riscos dos objetivos de controle que no
esto sendo alcanados, por meio de tcnicas analticas ou consultando fontes alternativas.
Levando estas quatro etapas em considerao, um processo de TI auditado por meio da
obteno do entendimento dos riscos relacionados com os requisitos de negcio e medidas de
controle relevantes. Na sequncia ocorre a avaliao dos controles determinados, identificando se
estes controles so apropriados ao que se prope.
Diretrizes de gerenciamento
Posteriormente se executa a avaliao de conformidade por meio de testes que devem identificar
se os controles estabelecidos esto funcionando como previsto e, por ltimo, se executa a
substanciao dos riscos dos objetivos de controle que no esto sendo atingidos.

Estas etapas devem ser executados em funo da necessidade que a alta administrao tem em
assegurar que as metas e objetivos da TI sejam atingidos e que os controles principais estejam
sendo aplicados no dia-a-dia.
As diretrizes de gerenciamento descrevem e sugerem atividades de auditoria/avaliao para
serem executadas para cada um dos 34 objetivosde controle de alto nvel do COBIT, de modo
que dentre os principais objetivos das diretrizes de auditoria possvel citar que estas devem
fornecer um gerenciamento de modo a assegurar que os objetivos de controle estejam sendo
alcanados.
Pontos fracos
Outro ponto importante o fato de identificar pontos fracosem controles que so significantes
ao negcio da empresa, sendo que para estes casos, as diretrizes de auditoria direcionar que
estes pontos tenham os riscos verificados de modo que seja possvel aconselhar a alta
administrao em relao a aes corretivas para mitigar ou eliminar os riscos.
Assim, o propsito das diretrizes de auditoria fornecer uma estrutura simples para controles de
auditoria e avaliao baseados em prticas de auditoria geralmente aceitas pelo mercado.
De maneira geral, os negcios de uma organizao definem os requisitos para os processos de TI,
e estes, por sua vez, alimentam as reas de negcio com informaes teis para a organizao.
Excelncia em TI
Assim, a estrutura do COBIT permite avaliar o desempenho dos processos de TI por meio dos
indicadores de resultado (outcome measures) e por meio dos indicadores de desempenho
(performance indicators), alm de tambm contar com um modelo de maturidade para anlise
de GAPentre o nvel atual de maturidade dos processos de TI e o nvel desejado pela empresa.
A excelncia operacional dos processos de TI alcanada por meio da busca pelos objetivos de
cada atividade dos processos.
Os processos, por sua vez, so controlados por meio dos objetivos de controle do COBIT, que so
implementados atravs de prticas de controle.
Assim, os objetivos de controle podem ser traduzidos em diretrizes de auditoria que so ento
utilizadas para auditar os processos de TI.
Requisitos para a auditoria de processos de TI
Definir o escopo da auditoria fundamental demensionamento do esforo necessrio para
executar este processo de controle. Para que isso seja feito de maneira adequada, importante
levar em conta a preocupao com os processos de negcio, plataformas, sistemas e seu
relacionamento
com
osuporte
aos
processos
de
negcio e,
finalmente,
as funes e responsabilidades na estrutura organizacional.
O prximo passo identificar requisitos de informao relevantes para os processos do negcio.
Para isso fundamental entender qual a relevncia de cada processo.
Na sequncia, necessrio identificar os riscos de TI inerentes aos processos alm de um nvel de
controle abrangente.
Aqui
deve
ser
levado
em
considerao
quaisquer mudanas
recentes ou incidentes que impactaram o negcio ou o ambiente de TI, resultados de
auditorias anteriores, autoavaliaes e certificaes que a empresa venha a ter como, por
exemplo, a ISO 20.000. Alm disso, tambm importante avaliar os controles de monitorao
que so aplicados pela administrao da empresa.
Processos e plataformas
Aqui
deve
ser
levado
em
considerao
quaisquer mudanas
recentes ou incidentes que impactaram o negcio ou o ambiente de TI, resultados de
auditorias anteriores, autoavaliaes e certificaes que a empresa venha a ter como, por

exemplo, a ISO 20.000. Alm disso, tambm importante avaliar os controles de monitorao
que so aplicados pela administrao da empresa.
O prximo passo selecionar quais so os processos eplataformas a serem auditadas. Isso
ajuda a focar nos itens mais relevantes, lembrando que importante no s considerar os
processos, como os recursos envolvidos nestes.
O ltimo passo das diretrizes de auditoria o de criar uma estratgia de auditoria. neste
ponto que se avalia quais so os controles disponveis em relao aos riscos identificados, quais
sero os passos e tarefas necessrias para executar a auditoria e quais sero os pontos de
deciso.

Processo de TI
Um processo de TI auditado por meio da compreenso dos riscos relacionados com os requisitos
de negcio e quais so as medidas de controles relevantes para cada risco identificado.
A partir deste cenrio, se executa uma avaliao dos controles determinados com o objetivo de se
certificar que estes so apropriados.
O prximo passo a avaliao da conformidade utilizando testes que possibilitem verificar se um
determinado ponto de controle est funcionando como planejado, de maneira consistente e
contnua.
Por ltimo se executa a substanciao dos riscos relacionados aos objetivos de controle que no
esto sendo alcanados. Isso pode ser feito por meio de anlises tcnicas ou utilizando referncias
alternativas.
Compreenso dos riscos dos processos
Esta fase fundamental para documentar as atividades que estejam relacionadas com os
objetivos de controle, bem como para identificar as medidas e procedimentos que sero aplicados.
A equipe de auditoria segue procedimentos especficos para obter este conhecimento, sendo que
para isso podem devem entrevistar os gestores/gerentes e equipes necessrias para obter
conhecimento sobre:
Controles
Avaliao dos controles sobre os processos
A etapa seguinte a avaliao dos controles utilizados em cada processo, buscando identificar se
so eficazes ao que se propem, neste sentido importante determinar o que ser testado e
como os testes sero realizados.

A equipe de auditoria deve avaliar se as medidas de controle so apropriadas, de acordo com o


critrio identificado e estabelecido, podendo utilizar prticas e padres de mercado e tambm
fazendo uso do julgamento profissional sobre o assunto.
Estes devem buscar determinar se os processos esto documentados, se as sadas dos processos,
tambm conhecidas como entregveis, so apropriados, se as responsabilidades esto claras e se
h controles de compensao nos casos em que estes devem ser aplicados.
Conformidade
Avaliao da conformidade dos processos
Nesta etapa a equipe de auditoria busca evidncias diretas ou indiretas para os pontos
selecionados, visando identificar se os procedimentos esto em conformidade com a especificao
do processo.
Neste momento tambm importante determinar o nvel de testes e o trabalho necessrio para
dar assegurar que o processo avaliado est adequado.
Isto feito com o objetivo de assegurar que as medidas de controle estabelecidas esto
funcionando de acordo com o previsto e que so apropriadas para o ambiente controlado.
Apontando Riscos
Substanciar os riscos dos processos
Finalmente, os riscos identificados para os objetivos de controle que no esto alcanando os
objetivos definidos devem ter suas deficincias documentadas, apontando inclusive as
ameaas possveis e vulnerabilidades existentes.
Uma vez realizada esta anlise, a equipe de auditoria deve identificar e documentar o impacto
atual e o impacto potencial do risco ou, em outras palavras, quais as chances do risco identificado
se tornar uma realidade para a empresa.
Praticas e riscos
Prticas de controle
Antes de falar das prticas de controle, importante ter em mente que cada um dos 34 objetivos
de controle do COBIT possui diretrizes de auditoria especficas.
As prticas de controle do COBIT fornecem aos usurios um nvel adicional de detalhes sobre os
processos, estendendo assim a capacidade de uso de COBIT.
Os processos de TI definidos no COBIT, os objetivos de controle e os requisitos de negcio
determinam o que deve ser feito para estabelecer uma estrutura de controle efetiva.
No entanto, as prticas de controle fornecem o como e o porque estas so necessrias para a
administrao para avaliar controles especficos com base na anlise de riscos e na operao da
TI.
Tratamento dos riscos
Transferncia de riscos
Trata-se de compartilhar os riscos com parceiros ou contratar seguro apropriado. Um exemplo
tpico para estes casos ocorre quando voc contrata um seguro para o seu veculo, casa
ou notebook. Ao fazer isso, voc est literalmente transferindo o risco para um terceiro por avaliar
que no seria vivel permanecer com o risco de ficar sem o seu bem em funo de furto, roubo,
incndio ou outras causas.
Mitigao de riscos

Trata-se da implementao de controles que tragam proteo contra o tipo de risco identificado,
por exemplo, implementar um mecanismo de autenticao baseado em biometria traz maior
proteo a acessos no autorizados a informaes confidenciais.
Tratamento dos riscos
Evitar riscos
Trata-se de adotar uma opo diferente do cenrio original, de modo que orisco
identificado seja totalmente evitado. Podemos dar um exemplo deste tipo de tratamento
quando uma empresa decide digitalizar toda a sua base de documentao e estes esto
distribudos em diversas filiais. Em vez de trazer os documentos at um ponto central para
digitalizao e correr o risco de perda do material em funo de manipulao inadequada ou
problemas com o transporte (furto de carga), opta-se por levar os recursos de digitalizao para
as filias, evitando assim o transporte dos documentos.
Aceitao de riscos
Trata-se de confirmar, aceitar e monitorar os riscos. Para estes casos fundamental ter um plano
de resposta ao risco pronto para ser colocado em ao, evitando assim dados significativos ao
negcio ou a imagem da organizao. Podemos ilustrar este caso com o monitoramento de
tsunamesque vrios pases esto executando. Ao detectar uma ocorrncia de tsuname que venha
a afetar o Pas, o governo aciona o plano de resposta que normalmente implica na evacuao
da populao dos pontos prximos ao mar.
RACI
Outro ponto relevante que o COBIT estabelece a definio clara das responsabilidades e papis
para cada um dos 34 processos.
Isto feito com o uso de uma matriz de responsabilidades que aponta o que deve ser delegado
a quem, sendo que o framework determina claramente os limites e comprometimento necessrio
para cada um dos papeis citados a seguir seguindo omodelo RACI.
RACI o acrnimo, em ingls, para Accountable,Responsible, Consulted and Informed, ou seja:
[R] define quem executa o processo
[A] define quem responsvel pelo resultado
[C] define quem deve ser consultado
[I] define quem deve ser informado.
Matriz de responsabilidades do RACI
Papis normalmente definidos pelo COBIT por meio da matriz RACI:

Chief Executive Officer (CEO)

Chief Financial Officer (CFO)

Executivos de Negcio

Chief Information Officer (CIO)

Proprietrio de Processos de Negcio

Chefe de Operaes

Chefe de arquitetura

Lder de desenvolvimento

Lder de administrao de TI (RH, oramento e controles internos)

Project Management Officer (PMO)

Grupos de conformidade, auditoria, risco e segurana

Papis adicionais de acordo com especificidades de alguns processos

Definir os Processos de TI, a Organizao e Relacionamentos


Estude com cuidado a figura abaixo, retirada do COBIT 4.1, com o objetivo de compreender como
este recurso ajuda a definir os papis para o processo Definir os processos de TI, a
organizao e relacionamentos.

COBIT e outros padres


Dentre as vantagens de se adotar o framework de controle do COBIT, possvel destacar a sua
compatibilidade com outros padres.
Este se posiciona em um nvel mais genrico e por isso pode ser utilizado para avaliar processos
implementados por outras normas tcnicas ou frameworks, como ISO 17799 (segurana da
informao) e ITIL.
O COBIT pode ser aplicado depois que outros padres que atuam em um nvel mais operacional j
estejam aplicados, tendo em vista que o COBIT servir para auditar estes processos.
O COSO um framework para controle interno, no somente de TI, e pode ser utilizado em
qualquer rea de negcio, j o COBIT especfico para a TI, mas est 100 alinhado com o COSO.
Em relao a compatibilidade com ITIL, o COBIT cobre a maioria dos processos ITIL, tanto na
verso 2 quanto na verso 3, s que o ITIL tem os processos apresentados com maior nvel de
detalhe. De maneira geral, enquanto o ITIL est mais direcionado ao como, o COBIT foca no o
que.
Framework de controle
Assim, pode se dizer que o COBIT um framework de controle que estabelece o que tem que
ser feito, mas no diz como deve ser feito.
Alm disso, o COBIT atende os requisitos regulatrios nos quais a empresa est submetida e
exatamente por este motivo que pode ser utilizado para cumprir a conformidade com a
lei Sarbanes-Oxley.

A figura a seguir apresenta os 34 Objetivos de Controle de alto nvel do COBIT e mostra os seus
pontos de interao com outros elementos. Isto mostra porque o framework do COBIT est sendo
adotado em larga escala na aplicao de prticas de governana de TI.
COBIT x Outros Padres

Objetivos de controle do COBIT


Estes domnios englobam as tradicionais reas de responsabilidade da TI, que so as de planejar,
construir, executar e monitorar.
O COBIT oferece um modelo de referncia para os processos, alm de uma linguagem comum a
todos na empresa, de modo que estes possam visualizar e gerenciar as atividades de TI.
Como tambm visto anteriormente, um modelo de processos demanda que cada processo tenha
um proprietrio, de forma a definir claramente as responsabilidades e quem ser cobrado pelos
resultados dos processos.
Assim, o nosso foco de estudo estar concentrado em cada um dos domnios e seus respectivos
processos.
Planejar e organizar
O domnio do planejamento e organizao engloba as estratgias e tticas adotadas pela
organizao de TI, e se preocupa em identificar a forma onde a TI possa contribuir da melhor
maneira possvel para que os objetivos do negcio sejam alcanados.
A viso estratgica da TI deve ser planejada, comunicada e gerenciada sob diferentes
perspectivas. Alm disso, este domnio cobre tambm a organizao da TI e a infraestrutura
tecnolgica que deve ser implementada na organizao.
Assim, basicamente, o domnio de planejamento e organizao oferece resposta as questes
relacionadas a seguir:

A TI e estratgia do negcio esto devidamente alinhados?

A organizao est tirando o melhor proveito possvel de seus recursos?

Todos na organizao compreendem os objetivos da TI?

Os riscos so compreendidos e gerenciados?

A qualidade dos sistemas de TI apropriada para as necessidades do negcio?

Adquirir e implementar
Para que a estratgia de TI se torne uma realidade, solues tecnolgicas devem ser identificadas,
desenvolvidas ou adquiridas, e na sequncia, estas devem ser implementadas e integradas aos
processos de negcio.
Sendo assim, mudanas e manutenes nos sistemas j implementados so tratadas por este
domnio visando assegurar que as solues continuem atendendo os objetivos de negcio.
Dessa forma, o domnio de aquisio implementao demanda que as seguintes questes
sejam consideradas e respondidas:

Os novos projetos esto no caminho de entregar solues que venham ao encontro as


necessidades de negcio?

Novos projetos esto sendo conduzidos de maneira que as entregas sejam realizadas
dentro do tempo previsto e dentro do oramento estabelecido?

Os novos sistemas vo funcionar adequadamente quando implementados?

As mudanas na infraestrutura sero realizadas sem causar impactos negativos para a


operao do negcio?
Entregar e suportar
O domnio da entrega e suporte est focado na entrega atual dos servios demandados, e isto
inclui a entrega de servios, o gerenciamento de segurana e da continuidade dos servios de TI,
o suporte aos servios, o gerenciamento de dados e a operao da instalaes fsicas.
Para quem j estudou ITIL, fica bastante evidente a semelhana dos objetivos de controle que o
COBIT trata neste domnio com as disciplinas ITIL, porm, como vimos, o COBIT est mais focado
no controle e diz o que deve ser controlado, em nenhum momento o framework do COBIT
estabelece como isso deve ser implementado.
As prticas descritas na ITIL oferecem mais detalhes para que se estruture como os processos
sero executados, assim, ITIL e COBIT podem ser perfeitamente integrados, no importando qual
iniciativa a organizao adotar primeiro.
Assim como citado nos domnios anteriores, o domnio de aquisio e implementaodemanda
que as gerncias respondem as seguintes questes:

Os servios de TI esto sendo entregues alinhados com as prioridades de negcio?

Os custos de TI so otimizados?

A fora de trabalho capaz de utilizar os sistemas de TI de maneira produtiva e segura?

H adequados nveis de confidencialidade, integridade e disponibilidade para a segurana


da informao?
Monitoramento e avaliao
O domnio do monitoramento e avaliao considera que todos os processos de TI devem ser
regularmente avaliados com o passar do tempo, considerando sua qualidade a aderncia aos
requisitos de controle.
Este o domnio que engloba o gerenciamento de performance, o monitoramento dos controles
internos, a aderncia a legislao e normas especficas e a governana propriamente dita.

Os processos deste domnio so tratados visando responder as seguintes questes de


gerenciamento:

A performance de TI medida de modo a identificar problemas antes que seja muito tarde?

O gerenciamento assegura os controles internos so eficientes e eficazes?

H alguma maneira que a performance da TI esteja ligada aos objetivos de negcio?

H adequados nveis de confidencialidade, integridade e disponibilidade para a segurana


da informao?
Processos de controle
Levando todos estes requisitos em considerao, a verso 4.1 do COBIT identificou 34
processos que so utilizados de maneira genrica.
Embora a maioria das organizaes tenham definido, planejado, construdo, executam e
monitoram as responsabilidades da TI, sendo que a maioria tenham os mesmos processos chave,
poucas empresas tero a mesma estrutura de processos ou aplicam todos os 34 processos do
COBIT.
Um dos grandes benefcios do COBIT que ele oferece uma lista completa de processos que
podem ser utilizados para avaliar, controlar emonitorar as atividades e responsabilidades, no
entanto, nem todos eles devem ser obrigatoriamente aplicados. De maneira alternativa, os
processos tambm podem ser combinados de acordo com as necessidades da empresa.
Framework de controle
O ponto aqui que o COBIT flexvel o suficente para atender uma pequena empresa enquanto,
ao mesmo tempo, a mesma estrutura de processos pode ser til para empresas de mdio e
grande porte, nacionais ou multinacionais.
O COBIT apresenta um link entre os objetivos de negcio e os objetivos da TI para cada um dos
34 processos suportados. Ele tambm oferece informaes sobre como os objetivos podem ser
medidos, quais so as principais atividades de cada processo e suas principais entregas ou
resultados, alm disso, ele tambm prov direcionamento sobre quem o responsvel para cada
atividade.
Por ser um framework de controle, naturamente o COBIT define objetivos de controle para cada
um dos 34 processos, alm de tambm estabelecer requisitos de controle genricos para cada
processo, bem comocontroles de aplicao.
Processos do COBIT
Cada um dos processos de TI definidos no COBIT tem sua respectiva descrio e um nmero de
objetivos de controle.
Como um todo, eles so as caractersticas de um processo bem gerenciado.
Os objetivos de controle so identificados por uma referncia aos domnios realizada por meio de
dois caracteres (PO, AI, DS e ME) acrescidos de um nmero do processo e de um nmero do
objetivo de controle.

Como dito anteriormente, alm dos objetivos de controle, cada processo do COBIT tem 6
requisitos de controle genricos que so identificados pela sigla PCn, onde n representa o nmero
do processo.
Objetivos de controle genricos
Os objetivos de controle genricos devem ser considerados junto com os objetivos de controle do
processo para que seja possvel ter uma viso completa dos requerimentos de controle.
Objetivos de controle genricos (extrado do COBIT 4.1, traduzido e adaptado)
PC1 Objetivos e metas do processo
Defina e comunique objetivos e metas do processo de maneira especfica, mensurvel, alcanvel,
realista e dentro de um perodo claramente definido. Assegure que eles estejam vinculados aos
objetivos de negcio e que sejam suportados por mtricas adequadas.
Processos de TI
PC2

Proprietrio
do
processo
Atribua
um
proprietrio
para
cada
processo
de
TI,
e
defina
claramente
os papis eresponsabilidades do proprietrio do processo. Inclua, por exemplo, a
responsabilidade pelo desenho do processo, a interao com outros processos, a responsabilidade
sobre os resultados finais, a medio da performance do processo e a identificao de
oportunidades de melhoria.
PC3

Repetio
do
processo
Projete e implemente cada processo chave de TI de maneira que ele seja repetvel e produza os
resultados esperados de maneira consistente.
Fornea uma sequncia lgica de atividades, que seja flexvel e escalonvel para atingir os
resultados desejados e que seja gil o suficiente para tratar excees e emergenciais. Use
processos consistentes, onde possvel, e trate excees somente quando for inevitvel.
PC4

Papis
e
responsabilidades
Defina as atividades principais e entregas finais do processos. Atribua e comunique papis e
responsabilidades de maneira clara para uma execuo efetiva e eficiente das principais atividades
e sua documentao, assim como a responsabilidade pelo processo e pelos entregveis.
Planos e procedimentos de TI
PC5

Poltica,

planos

procedimentos

Defina e comunique como todas as polticas, planos e procedimentos que direcionam os processos
de TI so documentados, revisados, mantidos, aprovados, armazenados, comunicados e utilizados
para treinamento.
Atribua responsabilidades para cada uma destas atividades e, dentro do tempo apropriado, revise
buscando identificar se estas esto sendo corretamente executadas.
Assegure que as polticas, planos e procedimentos estejam acessveis, corretos, compreensveis e
atualizados.
PC6

Melhoria

da

performance

do

processo

Identifique um conjunto de mtricas que proporcione uma viso nos resultados e na performance
do processo.
Estabelea metas que reflitam os objetivos do processo e indicadores de performance que
possibilitem que o objetivo do processo seja alcanado. Defina como os dados devem ser obtidos.
Compare os resultados atuais com as metas e tome aes em relao aos desvios, quando
necessrio. Alinhe mtricas, metas e mtodos com uma abordagem do monitoramento da
performance geral da TI.
Objetivos SMARRT
Specific, Measurable, Actionable, Realistc, Results-oriented and Timely
Trata-se de um acrnimo com algumas variaes (SMART ou SMARRT) j bastante conhecido no
mercado para a definio de objetivos. No entanto, importante conhecer no s a traduo de
cada letra, mas sim o raciocnio mais amplo sobre o significado real deste conceito.
O conceito pode ser aplicado na definio de objetivos de negcio, profissional ou pessoal, e as
melhores prticas estabelecem que objetivos devem ser SMART, conforme veremos a seguir.
Especfico
[S]pecif: Especfico
No deixe espao a interpretaes duvidosas ao definir um objetivo. Quanto mais detalho for o
objetivo, melhor ser sua compreenso e maiores sero as chances dele ser alcanado.
Depois de descrever o objetivo, confira se no h pontos que possam gerar dvidas por falha de
interpretao, por qualquer pessoa com conhecimento bsico sobre o assunto.
Mensurvel
[M]easurable: Mensurvel
Objetivos devem ser transformados em nmeros, caso contrrio estes podero ser
manipulados ou interpretados do modo mais conveniente para os interessados, de modo que fica
dvidas ou discusso em aberto sobre como definir se o objetivo foi alcanado ou no.
Outro ponto a considerar neste quesito se h ferramentas disponveis para medir o objetivo da
maneira desejada e adequada, caso contrrio, novamente possvel estabelecer valores a partir
de qualquer parmetro disponvel.
Sendo assim, fundamental ter definio clara sobre o sistema de medio que ser utilizado
para monitorar o objetivo. Lembre-se que os interessados podem ser colaboradores da sua
equipe, pares, seu chefe, ou at mesmo acionistas!
Alcanvel
[A]ttainable ou Achievable: Alcanvel
importante que objetivos tenham metas desafiadoras e que demandem algum tipo de esforo
para serem alcanados, mas fundamental que os objetivos possam ser alcanados.
importante gerar um desafio para que as equipes superem, mesmo parecendo ser difcil, mas
isso muito diferente de buscar nmeros impossveis de serem atingidos. Em vez de motivar, o
objetivo s causar frustrao e desnimo.
Algumas variaes do uso deste recurso atribuem a letra A a objetivos estabelecidos em comum
acordo (agreed upon), o que significa que os envolvidos na execuo do objetivo esto de acordo
com sua viabilidade e benefcios.

Em tempo
[T]imely ou Time-bounded: em tempo
De certa forma esta caracterstica est vinculada a definio dos objetivos de maneira especfica
(S). O objetivo deve ter seu prazo para ser alcanado claramente estabelecido, e este perodo no
pode ser to curto a ponto de tornar o objetivo impossvel de ser alcanado, nem to longo a
ponto de que ocorra a perda de foco com o passar do tempo. Alguns autores tambm apresentam
o T como Tangvel(Tanglible).
Exemplo:
Objetivo

no-smart: construir

uma

casa

no

campo.

Objetivo SMART: construir uma casa trrea no campo, na regio de Sorocaba-SP, com rea til
interna de 180 m, piso frio em todos os cmodos, 3 sutes, sala com lareira, churrasqueira,
garagem para at 10 carros, quadra de futsal, sistema de segurana com cmeras e alarme,
dentro de um perodo de 18 meses a contar desta data, com um oramento de at R$650.000.
Controles de aplicao
Alm dos objetivos de controle genricos vistos anteriormente, o COBIT tambm estabelece
alguns objetivos denominados controles de aplicao.
Trata-se de controles existentes em aplicaes dos processos de negcio, onde o COBIT assume
que o projeto e implementao de controles de aplicaes automatizados so de responsabilidade
da organizao de TI, cobertos no domnio de Aquisio e Implementao e baseados nos
requisitos de negcio por meio dos critrios de informao definidos no COBIT.
Exemplos deste tipo de controle incluem a totalidade, preciso, validade, autorizao de acesso e
segregao de funes.
O gerenciamento operacional e a responsabilidade de controle sobre os controles de aplicao no
so da TI, mas sim no proprietrio do processo de negcio.
Funes dos controles de aplicao
Embora a responsabilidade pelos controles de aplicaes seja compartilhada pelo negcio e pela
TI, a natureza das responsabilidades muda em funo de cada papel:

Ao negcio cabe a responsabilidade dedefinir requisitos funcionais e requisitos de controle,


alm claro do uso dos servios automatizados.

A TI fica responsvel por automatizar eimplementar as funcionalidades de negcios e os


requisitos de controle e estabelecer controles para manter a integridade dos controles de
aplicao.

O conjunto de objetivos de controle recomendado para aplicaes identificado no


COBIT pela iniciais AC (Application Control), sendo que cada objetivo ser listado a seguir:

AC1 Autorizao e preparao da fonte de dados

Assegura que as fontes dos documentos estejam preparadas por pessoal qualificado
e autorizado seguido os procedimentos estabelecidos, levando em considerao a adequada
segregao de papis necessrias na origem e aprovao destes documentos. Erros e
omisses podem ser minimizados por meio de formulrios de entrada bem projetados.
Detecta erros e irregularidades de modo que estas possam ser reportadas e corrigidas.
Objetivos de controle
AC2 Coleo de fonte de dados e alimentao
Estabelece que a entrada de dados seja realizada no tempo adequado por equipe autorizada e
qualificada. Correo e reprocessamento de dados que foram alimentados erroneamente deve ser

realizada sem comprometer o nvel original de autorizao da transao. Onde for apropriado
efetuar a reconstruo, reter os documentos de origem por tempo adequado.
AC3 Verificao de preciso, completude e autencidade
Assegura que transaes sejam precisas, completas e validas. Valida dados que foram
alimentados, e edita o devolve para correo o mais prximo possvel do ponto de origem das
informaes.
AC4 Processamento com integridade e validade
Mantm a integridade e validade dos dados durante o ciclo de processamento. A identificao de
transaes incorretas no deve impactar o processamento das transaes vlidas.
Objetivos de controle II
AC5 Reviso de sadas, reconciliao e tratamento de erros
Estabelece procedimentos e responsabilidades associadas para assegurar que as saidas sejam
tratadas de maneira autorizada, entregues nos destinos apropriados, e protegidas durante a
transmisso. Estabelece que a verificao, deteco e correo da preciso das sadas ocorra; e
que a informao fornecida como sada seja utilizada.
AC6 Integridade e autenticao de transaes
Antes de passar dados de transaes entre aplicaes internas e funes de negcio/operacional
(dentro ou fora da empresa), verificar pelo endereamento apropriado, autenticidade da origem e
integridade do contedo. Mantenha a autenticidade e integridade durante a transmisso ou
transporte.
Descrio do processo
Para cada um dos 34 objetivos de controle de alto nvel o COBIT apresenta:

Uma descrio do processo

Critrios de informao aplicados ao processo

Uma declarao genrica de aes para um gerenciamento mnimo de boas prticas para
assegurar que o - processo seja mantido sob controle

Principais indicadores de performance

Recursos de TI envolvidos

<Objetivos de controle detalhados

Diretrizes de gerenciamento
- Entradas e processos de origem
- Sadas e processos de destino

Matriz de responsabilidades (RACI)

Objetivos e mtricas

Modelo de maturidade

Definir um plano estratgico de TI


PO1 Definir um plano estratgico de TI
-

Estabelece

objetivos

de

controle

O planejamento estratgico de TI necessrio para gerenciar e dirigir todos os recursos de TI em


alinhamento com as estratgias e prioridades do negcio. A funo da TI e as partes interessadas
do negcio so responsveis por assegurar que o melhor valor seja obtido por meio dos portflios
de projetos e servios.
O planejamento estratgico melhora o entendimento das principais partes interessadas sobre as
oportunidades e limitaes da TI, avalia a performance atual, identifica requisitos de capacidade e
recursos humanos e norteia o nvel de investimento requerido.
A estratgia e prioridades de negcio devem estar refletidas nos portflios e executadas pelos
planos tticos de TI, que especificam objetivos concisos, planos de ao e tarefas que so
compreendidas e aceitas tanto pelo negcio quanto pela TI.

O objetivo deste processo sustentar ou expandir a estratgia do negcio e requisitos de


governana com transparncia sobre os benefcios, custos e riscos.
Objetivos do processo PO1
Objetivos de controle do processo PO1
PO1.1

Gerenciamento
PO1.2

Alinhamento
PO1.3

Avaliao
de
PO1.4

Plano
PO1.5

Planos
PO1.6 Gerenciamento do portflio de TI

do

entre
TI
capacidade
e
estratgico
tticos

valor
e

da

o
performance
de
de

TI
negcio
atual
TI
Ti

Este processo medido por:

% de objetivos de TI do plano estratgico de TI que suportam os planos de estratgia do


negcio

% de projetos de TI no portflio de TI que podem ser diretamente mapeados aos planos


tticos de TI

Demora entre as atualizao do plano estratgico de TI e os planos tticos de TI

Definir a arquitetura da informao


PO2 Definir a arquitetura da informao
- Estabelece 4 objetivos de controle
A funo dos sistemas de informao cria e atualiza regularmente um modelo de informao de
negcio e defini os sistemas apropriados para otimizar o uso desta informao.
Isto considera o desenvolvimento de um dicionrio de dados corporativo com as regras de sintaxe
dos dados da organizao, esquemas de classificao dos dados e nveis de segurana.
Este processo melhora a qualidade das tomadas de deciso gerenciais por ter certeza que
informao confivel e segura, e habilita o racionalizao dos recursos de sistemas de informao
para atender de maneira apropriada as estratgias de negcio.
Este processo de TI tambm necessrio para aumentar a responsabilidade pela integridade e
segurana dos dados para melhorar a efetividade e controle de compartilhar informaes por meio
de aplicaes e entidades.
Objetivos do processo PO2
O objetivo deste processo obter agilidade para responder aos requisitos, prover informaes
consistentes e confiveis e integrar continuamente as aplicaes ao processos do negcio.
Objetivos de controle do processo PO2
PO2.1

Modelo
corporativo
de
PO2.2

Dicionrio
de
dados
corporativo
PO2.3

Esquema
de
PO2.4 Gerenciamento de integridade

arquitetura
e
regras
de
classificao

Este processo medido por:

% de elementos de dados redundantes/duplicados

da
sintaxe
dos

informao
de
dados
dados

% de aplicaes em no-conformidade com a metodologia da arquitetura de informaes


utilizadas na organizao

Frequncia das atividades de validao dos dados

Determinar a direo tecnolgica


PO3 Determinar a direo tecnolgica
- Estabelece 5 objetivos de controle
A funo dos servios de informao determina a direo tecnolgica para suportar o negcio. Isto
requer a criao de um plano de infraestrutura tecnolgica e um comit de arquitetura que
estabelece e gerencia expectativas claras e realistas de qual tecnologia pode oferecer em termos
de produtos, servios e mecanismos de entrega.
O plano atualizado regularmente e engloba aspectos como a arquitetura dos sistemas,
direcionamento tecnolgico, plano de aquisies, padres, estratgicas de migrao e
contingncia.
Isto habilita respostas imediatas a mudanas em um ambiente competitivo, economia de escala
para equipes de sistemas de informao e investimentos, assim como melhora de
interoperabilidade de plataformas e aplicaes.
O objetivo deste processo obter um sistema de aplicaes estvel, integrado, eficiente (custos),
recursos e capacidades que atendam aos requisitos atuais e futuros do negcio.
Objetivos do processo PO3
Objetivos de controle do processo PO3
PO3.1

Planejamento
do
PO3.2

Plano
da
PO3.3

Monitorar
tendncias
PO3.4

PO3.5 Conselho de arquitetura de TI

direcionamento
infraestrutura
futuras
e
Padres

tecnolgico
tecnolgica
regulamentao
tecnolgicos

Este processo medido por:

Nmero e tipo de desvios do plano da infraestrutura tecnolgica

Frequncia da reviso/atualizao do plano de infraestrutura tecnolgica

Nmero de plataformas tecnolgicas por funo em toda a organizao

Determinar os Processos de TI, sua organizao e relacionamentos


PO4 Determinar os processos de TI, sua organizao e relacionamentos
- Estabelece 15 objetivos de controle
Uma organizao de TI definida ao considerar os requisitos para as pessoas, competncias,
funes, responsabilidades, autoridade, papis e superviso. Esta organizao incorporada a
um framework de processos de TI que assegura transparncia e controle, assim como o
envolvimento de executivos sniors e o gerenciamento do negcio.
Um comit de estratgia assegura o acompanhamento da TI pela direo da empresa, e um ou
mais comits de direcionamento com a participao de TI e do negcio determina a priorizao
dos recursos de TI devidamente alinhado com as necessidade de negcio.

Processos, procedimentos e polticas administrativas so implementados para todas as funes,


com ateno especial a controles, gesto de qualidade, gerenciamento de riscos, informaes,
segurana, dados, propriedade sobre os sistemas, e segregao de papis.
Para assegurar suporte imediato aos requisitos de negcio, TI deve ser envolvida nas decises
sobre os processos relevantes.
Processo PO4
Objetivos de controle do processo PO4
PO4.1

Framework
de
processos
de
TI
PO4.2

Comit
de
estratgia
de
TI
PO4.3

Comit
de
direcionamento
de
TI
PO4.4

Colocao
organizacional
da
Fundao
da
TI
PO4.5

Estrutura
organizacional
da
TI
PO4.6

Estabelecimento
de
papis
e
responsabilidades
PO4.7

Responsabilidade
pelo
controle
de
qualidade
de
TI
PO4.8

Responsabilidade
por
riscos,
segurana
e
aderncia
PO4.9

Propriedade
sobre
sistemas
e
dados
PO4.10

Superviso
PO4.11

Segregao
de
funes
PO4.12

Equipe
PO4.13

Pessoas-chave
na
TI
PO4.14

Procedimento
e
polticas
para
contratados
PO4.15 Relacionamentos
Objetivos do processo PO4
O objetivo do processo PO4 obter agilidade para responder aestratgia do negcio atendendo,
ao mesmo tempo, os requisitos de governana e provendo pontos de contato definidos e
competentes.
Este processo medido por:

% de papis com posio documentada e descrio do nvel de autoridade

Nmero de processos/unidades de negcio no suportados pela organizao da TI que


deveriam ser suportados, de acordo com a estratgia

Nmero de atividades principais da TI fora da organizao da TI que no esto aprovadas


ou no esto sujeitas aos padres organizacionais de TI
Gerenciar os investimentos em TI
PO5 Gerenciar os investimentos em TI
- Estabelece 5 objetivos de controle
Um framework estabelecido e mantido para gerenciar os programas de investimento em TI e
este engloba os custos, benefcios e priorizao de acordo com o oramento, um processo formal
de oramentao e gerenciamento sobre o oramento.
As partes interessadas so consultadas para identificar e controlar o custo total e benefcios no
contexto dos planos estratgicos e tticos de TI, e iniciar aes corretivas quando necessrio.
O processo promove parceria entre TI e as partes interessadas do negcio, habilita o uso efetivo e
eficiente dos recursos de TI, e prov transparncia e responsabilidade sobre o Custo Total de
Propriedade (Total Cost of Ownership - TCO) na realizao dos benefcios para o negcio e Retorno
sobre os Investimentos em TI.

O objetivo deste processo demonstrar continuamente as melhorias de eficincia dos custos de TI


e sua contribuio para a lucratividade do negcio com servios integrados e padronizados que
satisfaam as expectativas dos usurios finais.
Objetivos do processo PO5
Objetivos de controle do processo P05
PO5.1

Framework
de
PO5.2

Priorizao
de
acordo
PO5.3

Oramentao
PO5.4

Gerenciamento
PO5.5 Gerenciamento de benefcios

gerenciamento
com
o
de
de

financeiro
oramento
TI
custos

Este processo medido por:

% de reduo do custo unitrio dos servios de TI entregues

% do valor de desvio do oramento comparado com o oramento total

% de gastos de TI expressos em linguagem de negcio (isto , aumento de vendas ou de


servios em funo de aumento de conectividade).
Comunicar metas gerenciais e direcionamento
PO6 Comunicar metas gerenciais e direcionamento
- Estabelece 5 objetivos de controle
A alta direo desenvolve um framework corporativo de controle de TI e defini e comunica as
polticas. Um programa de comunicao implementado para articular a misso, objetivos de
servio, polticas e procedimentos e outras iniciativas aprovadas e suportadas pelo gerenciamento.
A comunicao suporta o alcance aos objetivos de TI e assegura a conscincia e compreenso dos
riscos do negcio e da TI, objetivos e direcionamento.
O processo tambm assegura aderncia com legislao e regulamentos relevantes.
O objetivo deste processo fornecer informao precisa e no tempo adequado sobre os servios
de TI atuais e futuros e seus riscos associados e responsabilidades.
Objetivos do processo PO6
Objetivos de controle do processo P06
PO6.1

Poltica
de
TI
e
ambiente
PO6.2

Riscos
corporativos
de
TI
e
framework
PO6.3

Gerenciamento
de
polticas
PO6.4

Aplicao
de
polticas,
padres
e
PO6.5 Comunicao dos objetivos de TI e direcionamento

de
controle
de
controle
de
TI
procedimentos

Este processo medido por:

Nmero de interrupes no negcio causadas por interrupes dos servios de TI.

% de partes interessadas que entendem o frameworkcorporativo de controle de TI.

% de partes interessadas que no esto em conformidade com as polticas estabelecidas.

Gerenciar recursos humanos de TI


PO7 Gerenciar recursos humanos de TI

- Estabelece 8 objetivos de controle


Uma fora de trabalho competente adquirida e mantida para a criao e entrega dos servios de
TI para o negcio. Isto alcanado por seguir prticas definidas e acordadas que suportam o
recrutamento, treinamento, avaliao de performance, promoo e desligamento.
Este processo crtico, considerando que pessoas so tratadas como um ativo importante para a
empresa, e governana e o controle interno do ambiente so extremamente dependentes da
motivao e competncias das pessoas.
O objetivo deste processo adquirir pessoas competentes e motivas para criar e entregar servios
de TI.
Objetivos do processo PO7
Objetivos de controle do processo P07
PO7.1

Contratao
e
reteno
PO7.2

Competncias
PO7.3

PO7.4

PO7.5

Dependncia
sobre
PO7.6

Procedimentos
de
autorizao
PO7.7

Avaliao
de
performance
dos
PO7.8 Mudanas de emprego e desligamentos

de

de

pessoal
pessoais
Papis
Treinamento
indivduos
pessoal
colaboradores

Este processo medido por:

Nvel da satisfao das partes interessadas com o expertise e competncias do pessoal de

Rotatividade do pessoal deTI

% do pessoal certificado de acordo com as necessidades do trabalho

TI

Gerenciar qualidade
Enter PO8 Gerenciar qualidade
- Estabelece 6 objetivos de controle
Um sistema de gerenciamento de qualidade desenvolvido
desenvolvimento comprovado e aquisio de processos e padres.

mantido

para

incluir

Isto habilitado por meio de planejamento, implementao e manuteno do sistema de


gerenciamento da qualidade por fornecer requisitos claros de qualidade, procedimentos e polticas.
Requisitos de qualidade so estabelecidos e comunicados em indicadores quantificveis e
alcanveis. Melhoria contnua alcanada pelo monitoramento constante, analise e ao sobre
desvios, e na comunicao dos resultados para as partes interessadas.
Gerenciamento de qualidade essencial para assegurar que a TI est agregando valor ao negcio,
melhoria
contnua
e
transparncia
para
as
partes
interessadas.
O objetivo deste processo assegurar uma melhoria contnua e mensurvel dos servios de TI
entregues.
Processo PO8
Objetivos de controle do processo P08
PO8.1
PO8.2

Sistema
Padres

de
de

TI

gerenciamento
e
prticas

de
de

qualidade
qualidade

PO8.3

Padres
de
desenvolvimento
PO8.4

Foco
no
PO8.5

Melhoria
PO8.6 Medio de qualidade, monitoramento e reviso

aquisio
cliente
contnua

Este processo medido por:

% de partes interessadas satisfeitas com a qualidade da TI (por importncia)

% de processos de TI que so formalmente revisados por controle de qualidade em uma


base peridica que atenda as metas e objetivos de qualidade

% de processos recebendo reviso de controle de qualidade

Avaliar e gerenciar riscos de TI


PO9 Avaliar e gerenciar riscos de TI
- Estabelece 6 objetivos de controle
Um framework para gerenciamento de riscos criado mantido. O framework documenta um
nvel comum e acordado de riscos de TI, estratgia de mitigao e riscos residuais.
Qualquer impacto potencial nos objetivos da organizao que seja causado por um evento no
planejado identificado, analisado e avaliado.
Estratgias para mitigao dos riscos so adotadas para minimizar riscos para um nvel aceitvel.
O resultado da avaliao deve ser compreensvel para as partes interessadas e deve ser
expressado em termos financeiros, para habilitar as partes interessadas a alinhar os riscos a um
nvel
aceitvel
de
tolerncia.
O objetivo deste processo analisar e comunicar os riscos de TI e seu potencial impacto nos
processos e objetivos do negcio.
Objetivos do processo PO9
Objetivos de controle do processo P09
PO8.1

Framework
de
gerenciamento
de
riscos
PO8.2

Estabelecimento
do
contexto
dos
PO8.3

Identificao
de
PO8.4

Avaliao
de
PO8.5

Resposta
a
PO8.6 Manuteno e monitoramento de um plano de ao de riscos

de

TI
riscos
eventos
riscos
riscos

Este processo medido por:

% de objetivos crticos de TI cobertos por uma avaliao de riscos.

% de riscos crticos de TI identificados com planos de ao desenvolvidos.

% de planos de ao para gerenciamento de riscos aprovados para implementao.

Gerenciar projetos
PO10 Gerenciar projetos
Estabelece
14
objetivos
de
controle
Um framework para gerenciamento de programas e projetos para o gerenciamento de todos os

projetos de TI estabelecido. O framework assegura a priorizao correta e a coordenao de


todos projetos.
O framework inclui o plano principal, atribuio de recursos, definio dos entregveis, controle de
qualidade, um plano formal de testes, testes e reviso ps-implementao aps a instalao para
assegurar o gerenciamento do risco do projeto e a entrega de valor para o negcio.
Esta abordagem reduz o risco de custos inesperados e o cancelamento de projetos, melhora a
comunicao para o envolvimento do negcio e dos usurios finais, assegura o valor e a qualidade
dos entregveis dos projetos, e maximiza sua contribuio ao programa de investimentos de TI.
O objetivo deste processo assegurar que os resultados dos projetos sejam entregues dentro do
prazo acordado, no oramento definido e com a qualidade necessria.
Processo P10
Objetivos de controle do processo P010
PO10.1

Framework
de
gerenciamento
de
programas
PO10.2

Framework
de
gerenciamento
de
projetos
PO10.3

Abordagem
de
gerenciamento
de
projetos
PO10.4

Comprometimento
das
Partes
Interessadas
PO10.5

Declarao
do
escopo
dos
projetos
PO10.6

Fase
de
iniciao
dos
projetos
PO10.7

Plano
integrado
de
projetos
PO10.8

Recursos
dos
projetos
PO10.9

Gerenciamento
de
riscos
dos
projetos
PO10.10

Plano
de
qualidade
dos
projetos
PO10.11

Controle
de
mudanas
dos
projetos
PO10.12

Planejamento
de
mtodos
de
segurana
dos
projetos
PO10.13

Medio
de
performance,
relatrios
e
monitoramento
de
projetos
PO10.14 Encerramento dos projetos
Objetivos do processo P10
importante observar que o COBIT se integra perfeitamente com padres mais detalhados para
o gerenciamento de projetos, como o PMBOK ou PRINCE2.
Este processo medido por:

% de projetos atendendo as expectativas das partes interessadas (no prazo, no oramento


e atendendo aos requisitos por importncia).

% de projetos que recebem reviso ps-implementao.

% de projetos que esto seguindo os prticas e padres para gerenciamento de projetos.

Solues automatizadas
AI1 Identificar solues automatizadas
- Estabelece 4 objetivos de controle
A necessidade para uma nova aplicao ou funes requer anlise antes da aquisio ou criao
para assegurar que os requisitos de negcio sejam satisfeitos em uma abordagem efetiva e
eficiente. Este processo cobre a definio das necessidades, considerao das fontes alternativas,
reviso da viabilidade tecnolgica e econmica, e concluso da deciso final sobre fazer ou
comprar.
Todos estes passos habilitam as organizaes a minimizar os custos para adquirir e implementar
solues enquanto assegura que estas habilitam que o negcio possa alcanar seus objetivos.
O objetivo deste processo traduzir as funcionalidades do negcio e requisitos de controles em
um design efetivo e eficiente de solues automatizadas.
Objetivos do processo AI1
Objetivos de controle do processo AI1
AI1.1 Definio e manuteno do funcionamento do negcio e
AI1.2

Relatrio
de
anlise
AI1.3
Estudo de
viabilidade e formulao
de cursos
de
AI1.4 Aprovao de estudos de viabilidade e requisitos

requisitos tcnicos
de
riscos
ao alternativos

Este processo medido por:

Nmero de projetos cujos objetivos estabelecidos no foram atingidos em funo de


estudos de viabilidade incorretos.

% de estudos de viabilidade assinados pelos proprietrios dos processos de negcio.

% de usurios satisfeitos com as funcionalidades entregues.

Software aplicativo
AI2 Adquirir e manter software aplicativo
- Estabelece 10 objetivos de controle

Aplicaes so colocadas disponveis em alinhamento com os requisitos de negcio. Este processo


cobre o projeto das aplicaes, a incluso apropriada de controles de aplicao e requisitos de
segurana, e o desenvolvimento e configurao alinhados com padronizaes.
Isto permite que a organizao possa suportar a operao do negcio de maneira apropriada e
com as aplicaes corretas automatizadas.
O objetivo deste processo alinhar as aplicaes disponveis com os requisitos de negcio, e fazer
isso no tempo adequado e com um custo razovel.
Objetivos do processo AI2
Objetivos de controle do processo AI2
AI2.1

Design
de
alto
AI2.2

Design
AI2.3

Controle
e
auditabilidade
de
AI2.4

Segurana
e
disponibilidade
de
AI2.5

Configurao
e
implementao
de
software
aplicativo
AI2.6

Major
upgrades
em
sistemas
AI2.7

Desenvolvimento
de
software
AI2.8

Controle
de
qualidade
de
AI2.9

Gerenciamento
de
requisitos
de
AI2.10 Manuteno de software aplicativo

nvel
detalhado
aplicativos
aplicativos
adquirido
existentes
aplicativo
software
aplicativos

Este processo medido por:

Nmero de problemas em ambiente de produo, por aplicao,


causando downtime visvel.

% de usurios satisfeitos com as funcionalidades entregues.

Infraestrutura tecnolgica
AI3 Adquirir e manter infraestrutura tecnolgica
- Estabelece 4 objetivos de controle
As organizaes tem processos para aquisio, implementao e atualizaes da infraestrutura
tecnolgica.
Isto requer um abordagem planejada para aquisio, manuteno e proteo da infraestrutura
alinhados com estratgias tecnolgicas acordadas e com o provisionamento de ambientes de
desenvolvimento e testes.
Isto assegura que h suporte tecnolgico no dia-a-dia para as aplicaes do negcio.
O objetivo deste processo adquirir e manter uma infraestrutura de TI integrada e padronizada.
Objetivos do processo AI3
Objetivos de controle do processo AI3
AI3.1

Plano
de
aquisio
AI3.2

Disponibilidade
e
proteo
AI3.3

Manuteno
AI3.4 Viabilidade do ambiente de testes

da
de

infraestrutura
recursos
da
da

tecnolgica
infraestrutura
infraestrutura

Este processo medido por:

% de plataformas que no esto alinhadas com a arquitetura de TI e padres tecnolgicos.

Nmero de processos crticos de negcio suportados por infraestrutura obsoleta (ou que vai
ficar obsoleta em curto prazo).

Nmero de componentes da infraestrutura que no tem mas suporte (ou que no tero
mais em curto prazo).
Operao e uso
AI4 Habilitar operao e uso
- Estabelece 4 objetivos de controle
O conhecimento sobre sistemas novos deve estar disponvel. Este processo demanda a produo
de documentao e manuais para usurios e a prpria TI, e oferece treinamento para assegurar o
uso apropriado e a operao das aplicaes e de infraestrutura.
O processo visa assegurar a satisfao dos usurios finais em relao a oferta de servios e
respectivos nveis e integrando continuamente as aplicaes e solues tecnolgicas aos processos
de negcio.
Objetivos do processo AI4
Objetivos de controle do processo AI4
AI4.1

Planejamento
para
solues
operacionais
AI4.2

Transferncia
de
conhecimento
para
as
gerncias
de
negcio
AI4.3

Transferncia
de
conhecimento
para
usurios
finais
AI4.4 Transferncia de conhecimento para operao e equipes de suporte
Este processo medido por:

Nmero de aplicaes onde os procedimentos de TI so continuamente integrados aos


processos de negcio.

% de proprietrios de negcio satisfeitos com o treinamento de aplicativos e materiais de


suporte.

Nmero de aplicativos com usurios adequados e treinamento de suporte operacional.

Recursos de TI
AI5 Obteno de recursos de TI
- Estabelece 4 objetivos de controle
Os recursos de TI, incluindo pessoas, hardware, software e servios, preciso ser obtidos. Isto
requer adefinio e cumprimento de procedimentos de aquisio, a seleo de fornecedores, a
definio de acordos contratuais, a aquisio propriamente dita.
Fazer isso assegura que a organizao tenha todos os recursos de TI requisitados no tempo
apropriado e de uma maneira efetiva sob o ponto de vista de custos.
Esta iniciativa vem ao encontro da necessidade de negcio em melhorar
financeira da TI e sua consequente contribuio para a lucratividade do negcio.

a eficincia

Objetivos do processo AI5


Objetivos de controle do processo AI5
AI5.1

AI5.2

Gerenciamento
AI5.3

AI5.4 Aquisio de recursos de TI

Controle
de
Seleo

de
contratos
de

de

aquisies
fornecedores
fornecedores

Este processo medido por:

Nmero de disputas relacionadas a contratos de compra.

% de reduo dos custos de aquisio.

% de partes interessadas importantes que esto satisfeitos com os fornecedores.

Gerenciar mudanas
AI6 Gerenciar mudanas
-

Estabelece

objetivos

de

controle

Todas as mudanas, incluindo manuteno de emergncia e aplicao de patches, relacionadas


ainfraestrutura e aplicaes do ambiente de produo so formalmente gerenciadas de forma
controlada.
Mudanas, incluindo aquelas relacionadas a procedimentos, processos, sistemas e parmetros de
servios, so registradas, avaliadas e autorizadas antes de sua implementao, e so revisadas
em relao as sadas planejadas aps a implementao.
Isto assegura a mitigao de riscos de impacto negativo a estabilidade ou integridade do ambiente
de produo.
O objetivo deste processo responder aos requisitos de negcio em alinhamento com a estratgia
do negcio, reduzindo os defeitos na entrega de servios e retrabalho.
Objetivos do processo AI6
Objetivos de controle do processo AI6
AI6.1

Padres
e
procedimentos
de
AI6.2

Avaliao
de
impacto,
priorizao
e
AI6.3

Mudanas
AI6.4

Acompanhamento
de
mudana
de
status
AI6.5 Fechamento e documentao da mudana

mudana
autorizao
emergenciais
e
relatrios

Este processo medido por:

Nmero de interrupes ou erros de dados causados por especificao imprecisa ou


avaliao de impacto imcompleta

Volume de retrabalho em aplicaes ou infraestrutura causados por especificaes de


mudanas inadequada

% de mudanas que seguiram um processo formal de controle

Solues e mudanas
AI7 Instalar e validar solues e mudanas
-

Estabelece

objetivos

de

controle

Novos sistemas devem ser colocados em operao aps seu desenvolvimento estar completo. Isto
requer testes adequados em um ambiente dedicado com dados relevantes para o propsito de
testes, definio do plano de implementao e instrues para migrao, planejamento da
liberao para colocar o sistema em produo, e inclui tambm uma reviso ps-implementao.
Isto assegura que os sistemas estejam disponveis de maneira alinhada com as sadas e
expectativas previamente acordadas com as reas de negcio da empresa.

O foco principal deste objetivo de controle assegurar que a implementao de novos sistemas ou
de mudanas ocorra sem causar grandes impactos ou problemas aps a instalao.
Objetivos do processo AI7
Objetivos de controle do processo AI7
AI7.1

AI7.2

Plano
AI7.3

Plano
AI7.4

Ambiente
AI7.5

Converso
de
AI7.6

Testes
AI7.7

Teste
de
AI7.8

Promoo
AI7.9 Reviso ps-implementao

Treinamento
de
testes
de
Implementao
de
testes
sistemas
e
dados
das
mudanas
aceitao
final
para
produo

Este processo medido por:

Volume de downtime de aplicaes ou nmero de correes nos dados causadas em funo


de testes inadequados.

% de sistemas que atendem aos benefcios esperados quando medidos por meio do
processo de reviso ps-implementao.

% de projetos com plano de testes documentado e aprovado.

Nveis de servio
DS1 Definir e gerenciar nveis de servio
- Estabelece 6 objetivos de controle
Trata-se da comunicao efetiva entre a gerncia da TI e os clientes do negcio, em relao
aos servios requeridos, habilitado atravs da documentao e o acordo de servios da TI e
nveis de servios.
Este processo tambm inclui o monitoramento e o reporte em tempo adequado para as partes
interessadas sobre o cumprimento dos nveis de servios.

Este processo habilita o alinhamento entre os servios da TI o os requerimentos de negcio


associados.
O objetivo assegurar o alinhamento dos principais servios de TI com a estratgia do negcio.
Objetivos do processo DS1
Objetivos de controle do processo DS1
DS1.1
Framework de
gerenciamento
de
nvel
DS1.3

Acordos
de
nvel
DS1.4

Acordos
de
nvel
DS1.5

Monitoramento
e
reporte
sobre
os
nveis
de
DS1.6 Reviso dos acordos de nvel de servio e contratos

de
de
servio

servio
servio
operacional
alcanados

Este processo medido por:

% de partes interessadas do negcio que esto satisfeitos com o alcance dos nveis de
servio acordados.

Nmero de servios entregues que no constam no catlogo de servios.

Nmero de reunies por ano para reviso formal dos nveis de servio realizadas com os
clientes do negcio.
Servios de terceiros
DS2 Gerenciar servios de terceiros
- Estabelece 4 objetivos de controle
A necessidade de assegurar que servios providos por terceiros atendam aos requisitos do negcio
requer um processo efetivo de gerenciamento de terceiros.
Este processo efetuado com papeis claramente definidos, responsabilidades e expectativas em
acordos com terceiros, assim como reviso e monitoramento destes acordos para efetividade e
conformidade.
O gerenciamento efetivo de servios de terceiros minimiza os riscos de negcio associados com
fornecedores sem a performance necessria ou adequada.
O objetivo deste processo assegurar que terceiros possam prover servios satisfatrios
mantendo a transparncia sobre os benefcios, custos e riscos
Objetivos do processo DS2
Objetivos de controle do processo DS2
DS2.1

Identificao
de
todos
os
relacionamentos
com
DS2.2

Gerenciar
o
relacionamento
com
DS2.3

Gerenciar
risco
dos
DS2.4 Monitorar a performance dos fornecedores

fornecedores
fornecedores
fornecedores

Este processo medido por:

Nmero de reclamaes de usurios sobre os servios contratados.

% de fornecedores estratgicos alcanando requisitos e nveis de servio claramente


definidos.

% de fornecedores estratgicos sujeitos a monitoramento.

Performance e capacidade
DS3 Gerenciar performance e capacidade
- Estabelece 5 objetivos de controle
A necessidade de gerenciar performance e capacidade dos recursos de TI requer um processo
para reverperiodicamente a performance e capacidade atual dos recurso s de TI.
Este processo inclui a previso da capacidade futura baseado em requisitos de carga,
armazenamento e contingncia.
Este processo assegura que recursos de informao que suportam requisitos de negcio estejam
disponveis continuamente.
O objetivo deste processo otimizar a performance da infraestrutura de TI, recursos e
capacidades em resposta as necessidades de negcio.
Objetivos do processo DS3
Objetivos de controle do processo DS3
DS3.1

Planejamento
de
DS3.2

Performance
DS3.3

Performance
DS3.4

Disponibilidade
DS3.5 Monitoramento e relatrios

performance
e
e
capacidade
e
capacidade
dos
recursos

capacidade
atual
futura
de
TI

Este processo medido por:

Nmero de horas perdidas por usurio/por ms em funo de um planejamento de


capacidade insufuciente.

% de picos onde a utilizao prevista excedida.

% de tempo de resposta no alcanado nos acordos de nvel de servio.

Continuidade dos servios


DS4 Garantir a continuidade dos servios
- Estabelece 10 objetivos de controle
A necessidade de prover servios de TI de maneira contnua requer o desenvolvimento,
manuteno e testes de planos de continuidade dos servios de TI, utilizando armazenamento
externo de backups e proporcionando treinamento peridico sobre os planos de continuidade.
Um processo efetivo de servios contnuos minimiza a probabilidade de impacto para os processos
e funes do negcio causados por uma interrupo significativa nos servios de TI (desastre).
O objetivo deste processo assegurar o mnimo impacto para o negcio em funo de eventos
que venham interromper os servios de TI por focar na construo de resilincia das solues
automatizadas e no desenvolvimento, manuteno e testes de planos de continuidade dos
servios de TI.
Objetivos do processo DS4
Objetivos de controle do processo DS4
DS4.1
DS4.2
DS4.3
DS4.4
DS4.5

Framework de
continuidade
de
Plano
de
continuidade
de

Recursos
crticos
de
Manuteno
do
plano
de
continuidade
de
Teste
do
plano
de
continuidade
de

TI
TI
TI
TI
TI

DS4.6

Treinamento
DS4.7

Distribuio
DS4.8

Recuperao
DS4.9

DS4.10 Reviso ps-retomada

do
plano
do
plano
e
retomada
Armazenamento

de
de

continuidade
continuidade
dos
servios
externo

de
TI
de
TI
de
TI
de backup

Este processo medido por:

Nmero de horas perdidas por usurio/por ms em funo de falhas no planejadas

Nmero de processos crticos para o negcio dependentes de recursos de TI que no esto


cobertos por um plano de continuidade
Segurana dos sistemas
DS5 Garantir a segurana dos sistemas
- Estabelece 11 objetivos de controle
A necessidade de manter a integridade da informao e proteger os ativos da TI requer um
processo de gerenciamento de segurana.
Este processo inclui de estabelecer e manter papeis e responsabilidades, polticas, padres e
procedimentos da segurana de TI. O gerenciamento da segurana tambm inclui realizar
monitoramento da segurana, testes peridicos e implementar aes corretivas ao identificar
fraquezas ou incidentes de segurana.
Um gerenciamento efetivo de segurana protege todos os ativos da TI para minimizar o
impacto sobre o negcio sobre vulnerabilidades e incidentes de segurana.
O objetivo deste processo manter a integridade da informao e sua infraestrutura de
processamento, e minimizar o impacto de vulnerabilidades e incidentes de segurana.
Objetivos do processo DS5
Objetivos de controle do processo DS5
DS5.1

Gerenciamento
da
segurana
DS5.2

Plano
de
segurana
DS5.3

Gerenciamento
de
DS5.4

Gerenciamento
de
contas
DS5.5

Testes
de
segurana,
fiscalizao
DS5.6

Definio
de
incidentes
DS5.7

Proteo
da
tecnologia
DS5.8

Gerenciamento
de
chaves
DS5.9

Preveno,
deteco
e
correo
de
DS5.10

Segurana
de
DS5.11 Troca de dados importantes

de
de

TI
TI
identidade
de
usurios
e
monitoramento
de
segurana
de
segurana
de
criptografia
SW
malicioso
redes

Este processo medido por:

Nmero de incidentes que afetaram a reputao da organizao no mercado.

Nmero de sistemas onde os requisitos de segurana no so alcanados.

Nmero de violaes em segregao de papis.

Custos
DS6 Identificar e alocar custos
- Estabelece 4 objetivos de controle

A necessidade para um sistema justo e imparcial de alocao de custos para o negcio requer
amedio exata de custos da TI e acordos com usurios de negcio para uma alocao correta.
Este processo inclui a criao e operao de um sistema de captura, alocao e reporte dos
custos da TI para os usurios de servios.
Um sistema justo de alocao habilita o negcio a tomar decises com conscincia sobre o custo
do uso de servios de TI.
O objetivo deste processo assegurar transparncia eentendimento dos custos de TI e
melhorar a eficincia por meio de uso consciente do servios de TI.
Objetivos do processo DS6
Objetivos de controle do processo DS6
DS6.1

Definio
DS6.2

Contabilidade
DS6.3

Modelos
de
DS6.4 Manuteno do modelo de custos

dos
custos

servios
TI
cobranas

de
e

Este processo medido por:

% de contas referentes ao servios de TI aceitas/pagas pelos gerentes de negcio.

% de variao entre oramento, previso e custo atual.

% dos custos gerais de TI que so alocados de acordo com os modelos de custos


acordados.
Educar e treinar usurios
DS7 Educar e treinar usurios
- Estabelece 3 objetivos de controle
A educao efetiva de todos os usurios de sistemas de TI, incluindo aqueles dentro da TI, requer
aidentificao das necessidades de treinamento de cada grupo.
Alm da identificao da necessidade, este processo inclui a definio e execuo de
uma estratgiapara um treinamento efetivo e medio de resultados.
Um programa efetivo de treinamento melhora o uso efetivo da tecnologia com a reduo de
erros de usurios, aumenta a produtividade e aumenta a conformidade com controles chaves, tais
como as medidas de segurana para usurios.
O objetivo deste processo usar as aplicaes e solues tecnolgicas de maneira eficiente e
eficaz, garantindo a aderncia dos usurios com polticas e procedimentos.
Objetivos do processo DS7
Objetivos de controle do processo DS7
DS7.1

Identificao
de
necessidade
DS7.2

Entrega
de
DS7.3 Avaliao do treinamento recebido

de
educao
treinamento

treinamento
educao

Este processo medido por:

Nmero de chamados na central de servios em funo de falta de treinamento dos


usurios

% de satisfao das partes interessadas com o treinamento oferecido

Tempo decorrido entre a identificao de uma necessidade de treinamento e a entrega do


mesmo
Servios e iIncidentes
DS8 Gerenciar central de servios e incidentes
- Estabelece 5 objetivos de controle
Respostas efetivas e no tempo adequado para as perguntas e problemas dos usurios da TI
requerem uma central de servios bem desenhada e implementada e um processo de
gerenciamento de incidentes.
Este processo inclui a implementao da funo da central de servios com registro,
escalao, tendncias, anlise de causas raiz e resoluo de incidentes.
O benefcio para o negcio inclui um aumento de produtividade por meio da rpida resoluo
das perguntas dos usurios.
Alm disso, o negcio pode enderear causas raiz por meio de relatrios efetivos.
O objetivo deste processo habilitar o uso efetivo dos sistemas de TI assegurando a resoluo e
anlise das solicitaes, questes e incidentes reportados por usurios finais.
Objetivos do processo DS8
Objetivos de controle do processo DS8
DS8.1

Central
DS8.2

Registro
das
DS8.3

Escalao
DS8.4

Fechamento
DS8.5 Relatrio e anlises de tendncia

solicitaes

de
de
de

dos

servios
usurios
incidentes
incidentes

Este processo medido por:

Volume de usurios satisfeitos com o suporte de primeiro nvel.

% de incidentes resolvidos dentro do tempo acordado ou em um perodo aceitvel.

Taxa de abandono de ligaes.

Configurao
DS9 Gerenciar a configurao
- Estabelece 3 objetivos de controle
Assegurar a integridade da configurao de hardware e software requer estabelecer e manter
umpreciso e completo repositrio da configurao.
Este processo inclui a coleta inicial de informao sobre a configurao, estabelecer bases de
referncia, verificar e auditar a informao da configurao e atualizar o repositrio da
configurao quando necessrio.
O gerenciamento efetivo da configurao facilita a maiordisponibilidade do sistema, minimiza
problemas no ambiente de produo e ajuda a resolver estes problemas com maior rapidez.
O objetivo deste processo otimizar a infraestrutura de TI, recursos e capacidades, e a
responsabilidade sobre os ativos de TI.

Objetivos do processo DS9


Objetivos de controle do processo DS9
DS9.1

Repositrio
de
configurao
DS9.2

Identificao
e
manuteno
de
itens
DS9.3 Reviso da integridade da configurao

e
de

referncia
configurao

Este processo medido por:

Nmero de no conformidades de negcio causadas por configurao inapropriada dos

ativos.

Nmero de divergncias identificadas entre o repositrio de configurao e a configurao


atual dos ativos.

% de licenas adquiridas e no contabilizadas no repositrio.

Problemas
DS10 Gerenciar problemas
- Estabelece 4 objetivos de controle
Um gerenciamento efetivo de problemas requer aidentificao e classificao de problemas,
anlise da causa raiz e resoluo de problemas.
O processo do gerenciamento de problemas tambm inclui a identificao de recomendaes para
melhorar a manuteno de registros de problemas e revisar o status de aes corretivas.
Um processo do gerenciamento de problemas efetivo melhora nveis de servio, reduz custos e
melhora a convenincia e satisfao do cliente.
O objetivo deste processo assegurar a satisfao do usurio final com a oferta de servios e
nveis de servio, e reduzindo a necessidade de busca por solues, de entrega de servios com
defeito e retrabalho.
Objetivos do processo DS10
Objetivos de controle do processo DS10
DS10.1

Identificao
e
classificao
de
DS10.2

Acompanhamento
de
problemas
e
DS10.3

Fechamento
de
DS10.4 Integrao do gerenciamento de configurao, incidentes e problemas

problemas
resolues
problemas

Este processo medido por:

Nmero de problemas recorrentes com impacto para o negcio.

% de problemas resolvidos dentro do tempo requerido.

Frequncia de relatrios ou atualizaes sobre o tratamento do problemas, baseado na


severidade.
Dados
DS11 Gerenciar dados
- Estabelece 6 objetivos de controle

O gerenciamento efetivo de dados requer a identificao de requisitos para os dados.


O processo de gerenciamento de dados tambm inclui estabelecer procedimentos efetivos para
gerenciar a biblioteca de mdias, backup e recuperao e disponibilizar mdias apropriadas.
Um gerenciamento efetivo de dados ajuda a assegurar a qualidade, oportunidade e disponibilidade
de dados para o negcio.
O objetivo deste processo otimizar o uso de informao e assegurar que a informao esteja
disponvel quando requerido.
Objetivos do processo DS11
Objetivos de controle do processo DS11
DS11.1

Requisitos
de
negcio
para
o
gerenciamento
de
dados
DS11.2

Providncias
para
reteno
e
armazenamento
DS11.3

Sistema
de
gerenciamento
de
biblioteca
de
mdias
DS11.4

Descarte
DS11.5
Backup e
restaurao
DS11.6 Requisitos de segurana para gerenciamento de dados
Este processo medido por:

% de usurios satisfeitos com a disponibilidade dos dados.

% de restaurao de dados realizadas com sucesso.

Nmero de incidentes onde dados importantes foram recuperados aps a mdia ter sido
descartada.
Ambientes fsicos
DS12 Gerenciar os ambientes fsicos
- Estabelece 5 objetivos de controle
A proteo dos equipamentos de computao e pessoal requer instalaes bem desenhadas e
bem gerenciadas.
O processo de gerenciar o ambiente fsico inclui definir os requisitos do ambiente fsico, seleo de
instalaes apropriadas e desenho efetivo dos processos para monitorar elementos ambientais e
gerenciar o acesso fsico.
Um gerenciamento efetivo do ambiente fsico reduz interrupes no negcio em funo de danos
causados nos equipamentos de computao e no pessoal.
O objetivo deste processo proteger ativos e dados do negcio e minimizar o risco de
interrupo do negcio.
Objetivos do processo DS12
Objetivos de controle do processo DS12
DS12.1

Seleo
DS12.2

Medidas
DS12.3

DS12.4

Proteo
DS12.5 Gerenciamento das instalaes fsicas

de
de
contra

Acesso

local
segurana
fatores

Este processo medido por:

Volume de downtime gerado por incidentes de falhas fsicas no ambiente.

e layout
fsica
fsico
ambientais

Nmero de incidentes causados por brechas ou falhas de segurana fsica.

Frequncia de avaliao de riscos fsicos e revises.

Entregar e suportar
DS13 Gerenciar operaes
- Estabelece 5 objetivos de controle
O processamento completo e exato de dados
processamento e amanuteno do hardware.

requer

um gerenciamento

efetivo do

Este processo inclui a definio de polticas e procedimentos operacionais para um gerenciamento


efetivo da programao do processamento, proteo de sadas importantes, monitoramento da
infraestrutura e manuteno preventiva de hardware.
Um gerenciamento efetivo da operao ajuda a manter a integridade dos dados e reduz atrasos
no negcio e custos da operao da TI.
O objetivo deste processo a manuteno da Integridade dos dados e assegurar que a
infraestrutura de TI possa resistir e se recuperar de erros e falhas.
Objetivos do processo DS13
Objetivos de controle do processo DS13
DS13.1

Procedimentos
e
DS13.2

Agendamento
DS13.3

Monitoramento
da
DS13.4

Documentos
importantes
DS13.5 Manuteno preventiva de hardware

instrues
de
infraestrutura
dispositivos

Este processo medido por:

Nmero de nveis de servio impactados por incidentes operacionais.

Horas de downtime no plenejado causados por incidentes operacionais.

% de ativos de hardware includos em agendas de manuteno preventiva.

Monitorar e avaliar a performance da TI

operacionais
trabalhos
de
TI
de
sada

ME1 Monitorar e avaliar a performance da TI


- Estabelece 6 objetivos de controle
O gerenciamento efetivo da performance da TI requer um processo de monitoramento.
Este processo inclui definir indicadores de performance relevantes, relatrios sistemticos e no
tempo adequado sobre questes de performance e aes tomadas em relao a desvios.
O monitoramento necessrio para ter certeza que as coisas corretas esto sendo feitas e esto
alinhadas com o direcionamento e polticas estabelecidas.
O objetivo deste processo obter transparncia e entendimento sobre os custos de TI, benefcios,
estratgias, polticas e nveis de servio de acordo com os requisitos de governana.
Objetivos do processo ME1
Objetivos de controle do processo ME1
ME1.1

ME1.2

Definio
ME1.3

ME1.4

ME1.5

Relatrios
ME1.6 Aes corretivas

Abordagem
colees
de
Mtodos
Avaliao
para
a
alta

de
dados
de
de
da
administrao

monitoramento
monitoramento
monitoramento
performance
e
executivos

Este processo medido por:

Satisfao da alta administrao e da entidade de governana em relao aos relatrios de


performance.

Nmero de aes de melhoria iniciadas em funo das atividades de monitoramento.

% de processos crticos monitorados.

Controles internos
ME2

Monitorar

avaliar

controles

internos

- Estabelece 7 objetivos de controle


Estabelecer um programa efetivo de controle interno para a TI requer um processo de
monitorao bem definido.
Este processo inclui monitor e reportar excees de controle, resultados da auto-avaliao e
reviso de terceiros.
Um benefcio importante do monitoramento de controles internos fornecer segurana
relacionada eficincia e eficcia das operaes e conformidade com leis e regulamentos
aplicveis.
O objetivo deste processo proteger o cumprimento dos objetivos de TI e estar aderente a
legislao, regulamentao ou contratos relacionados com a TI.
Objetivos do processo ME2
Objetivos de controle do processo ME2
ME2.1
ME2.2
ME2.3
ME2.4
ME2.5

Framework

de

monitoramento
Reviso
Controle
Controle
Segurana
de

de
controles
internos
de
superviso
de
excees
de
autoavaliao
controles
internos

ME2.6

ME2.7 Aes corretivas

Controles

internos

de

terceiros

Este processo medido por:

Nmero de brechas graves nos controles internos.

Nmero de iniciativas para melhoria dos controles.

Nmero e cobertura da auto-avaliao de controles.

Assegurar aderncia com requisitos externos


ME3 Assegurar aderncia com requisitos externos
- Estabelece 5 objetivos de controle
Uma vigilncia regulatria efetiva requer o estabelecimento de um processo de reviso para
assegurar a conformidade com leis, regulamentos e requisitos contratuais.
Este processo inclui a identificao de requisitos regulatrios, otimizao e avaliao da respostas,
obteno de certeza de que os requisitos foram atendidos e, finalmente, a integrao dos
relatrios de conformidade da TI com o restante do negcio.
O objetivo deste processo assegurar a conformidade com leis, regulamentao e
requisitos contratuais.
Objetivos do processo ME3
Objetivos de controle do processo ME3
ME3.1 Identificao de requisitos externos de conformidade com legislao, regulamentao e
contratuais
ME3.2

Otimizao
das
respostas
aos
requisitos
externos
ME3.3

Avaliao
de
conformidade
com
os
requisitos
externos
ME3.4

Validao
positiva
de
conformidade
ME3.5 Relatrios integrados
Este processo medido por:

Custo da no conformidade, incluindo acordos e multas.

Tempo mdio decorrido entre a identificao e resoluo de problemas externos de


conformidade.

Frequncia de revises de conformidade.

Prover governana
ME4 Prover governana de TI
- Estabelece 7 objetivos de controle
Estabelecer um framework efetivo de governana inclui definir a estrutura organizacional,
processos, liderana, papis e responsabilidades para assegurar que os investimentos corporativos
em TI estejam alinhados e entregues em acordo com a estratgia e objetivos corporativos.
O objetivo deste processo integrar a governana de TI com os objetivos da governana
corporativa e cumprir com as leis, regulamentao e contratos vigentes.
Objetivos do processo ME4
Objetivos de controle do processo ME4

ME4.1

Estabelecimento
ME4.2

ME4.3

ME4.4

ME4.5

ME4.6

ME4.7 Auditoria independente

de

um

framework
de
Alinhamento
Entrega
Gerenciamento
Gerenciamento
Avaliao
de

governana
de
de
de

de
TI
estratgico
valor
recursos
riscos
performance

Este processo medido por:

Frequncia de relatrios sobre TI emitidos da alta-administrao para partes interessadas


(incluindo maturidade).

Frequncia de relatrios sobre TI emitidos da TI para a alta-administrao (incluindo


maturidade)

Frequncia de revises independentes (auditorias) sobre a conformidade de TI

COBIT on line
O COBIT on line apresenta informaes sobre o COBIT via internet. Restrito a assinantes (servio
pago), ele possibilita que os usurios naveguem, faam pesquisas, compartilhem ou tirem proveito
de uma base de conhecimento sobre o assunto.
Por meio deste recurso o assinante pode ter acesso a inmeros arquivos para download, pode
comparar o desempenho de sua empresa com outras do mesmo segmento no mercado, por meio
de benchmarking, tem acesso a questionrios para avaliao, alm claro, de ter acesso a toda a
comunidade para trocar experincias com outros usurios.
O COBIT on line prov acesso rpido e fcil a todos os recursos do COBIT, por meio do recurso
MyCOBIT possvel construir e efetuar o download de sua prpria verso (customizada) do COBIT
para uso com o Word ou Access j com os modelos de avaliao.
COBIT Quickstart
O COBIT Quickstart foi especialmente projetado para dar assistncia a uma adoo rpida e fcil
dos elementos essenciais do COBIT.
Trata-se de uma verso compactada dos recursos do COBIT com foco no processos mais crticos
de TI, seus objetivos de controle e mtricas.

O COBIT Quickstart pode ser visto como uma linha de referncia para que empresas pequenas e
mdias, mas ao mesmo tempo tambm de utilidade para grandes organizaes como um
acelerador na adoo de melhores prticas de governana de TI.
Implementao de governana de TI
Guia de implementao de governana de TI
A ISACA afirma, por meio de seu folder de produtos, que um dos principais objetivos de se adotar
melhores prticas evitar a reinveno da roda!
Partindo deste princpio, entende-se que adotar melhores prticas em governana de TI s ser
possvel se sua implementao for efetiva e eficiente.
Assim, o guia de implementao de governana de TI oferece um roadmap e direcionamento
sobre os processo de como implementar governana de TI utilizado o COBIT, visando assegurar e
mensurar o valor agregado em relao aos investimentos realizados em TI.
Trata-se de um kit com modelos extremamente teis, ferramentas de diagnstico e tcnicas para
relatrios que auxiliam na adoo do framework de governana baseado no COBIT, oferecendo um
modelo genrico que permite estabelecer um plano de ao para adapt-lo s necessidades da
sua empresa.
Security Baseline e Val IT
COBIT Security Baseline
Este produto visto como um kit bsico de sobrevivncia para diretores, executivos, gerentes,
usurios profissionais e domsticos, relacionado a segurana da informao.
Trata-se de uma publicao focada em riscos de segurana de uma maneira simples de seguir e
implementar para qualquer pessoa, desde um usurio domstico at executivos e conselheiros de
grandes organizaes.
Ele oferece uma introduo a segurana da informao e esclarecimentos de porque isso
importante. Esta publicao foi criada com base na norma ISO 17799, e tambm oferece um
sumrio tcnico dos principais riscos de segurana.
Val IT
Esta publicao foca na governana dos investimento de TI, e naturalmente baseado
noframework do COBIT.
Ele oferece direcionamento para gerenciar os investimentos no portflio de TI da organizao.
Trata-se de um recurso que complementa o COBIT com uma perspectiva de negcio e financeira
de modo que bastante til para quem tiver interesse em obter o melhor retorno possvel da TI.
Mercado atual
Situao do mercado atual (2008 a 2012)
A necessidade de governana corporativa e a melhor gesto dos servios de TI geram no mercado
uma demanda para profissionais devidamente qualificados na rea, especificamente aqueles com
qualificao e certificao em COBIT e ITIL para a gesto de TI.
O mercado est to carente de profissionais qualificados que estudos indicam que a maioria das
instituies especializadas em treinamento na rea de TI registraram no em 2009 um aumento de
cerca de 75% na procura por cursos de especializao nestes assuntos.
Dentre as principais exigncias das empresas na hora da seleo e contratao de profissionais
para a rea de TI que o candidato seja altamente qualificado. E mesmo para aqueles que j
ocupam seu lugar ao sol, a qualificao fundamental para manuteno da empregabilidade e at
mesmo para estar apto a assumir novas responsabilidades.

Pesquisas
Em pesquisa recentemente realizada pelo Institute Data Corporation (IDC), um profissional
certificado tem 53% a mais de chances de conseguir um emprego em relao aos profissionais
que no possuem este ttulo.
Este ndice pode ser ainda mais elevado de acordo com o tipo de certificao que o profissional
possui. Alm disso, o salrio de profissionais certificados gira em torno de 10 a 100% a mais do
que a mdia que o mercado paga aos profissionais no certificados.
Portanto, cada vez mais os recrutadores esto familiarizados com o perfil, competncias e
habilidades que cada certificao proporciona ao candidato a emprego, de modo que torna o
processo de recrutamento e seleo mais simples, com menos riscos e custos, ou seja,
extremamente atrativo para as empresas.
Como obter certificao
COBIT Foundations
O exame para certificao COBIT Foundations tem 1 hora de durao e composto por 40
questes de multipla escolha, onde voc deve obter pelo menos 70% de aproveitamento (28
questes) para obter a aprovao no exame.
O exame no idioma ingls pode ser adquirido via internet no site da COBIT Campus, por meio
de um carto de crdito internacional, e poder ser realizado em qualquer local com conexo via
Internet.
Para isso, ser necessrio preencher alguns formulrios com seus dados e indicando quem ser o
seu proctor, ou seja, a pessoa que vai acompanhar voc no momento do exame para assegurar
que este seja realizado dentro dos padres exigidos para aprovao e obteno do certificado.
Exame em portugus
possvel fazer o exame em portugus, no entanto, este distribudo exclusivamente para
parceiros daIT Preneurs. No Brasil, a empresa IT Partners oferece o exame em portugus por
meio de suas instalaes em So Paulo e Braslia.
Ao final do exame o seu proctor preencher o relatrio e envi-lo para a ISACA.
Fatores crticos de sucesso
Este curso foi estruturado de maneira que voc construa uma slida base de conhecimento sobre
o COBIT, onde a compreenso de todos os conceitos apresentados visa dar a voc condies de
aplic-los em seu dia-a-dia.
Como consequncia voc estar com boas condies para prestar o exame de certificao. Voc
pode avaliar seu desempenho por meio dos resultados nos simulados apresentados no ltimo
captulo deste curso.
Resumo
dos
principais
tpicos
do
curso
Com o objetivo de fixar o contedo apresentado, a seguir temos um resumo dos pontos mais
relevantes deste curso.
Governana
de
TI
Trata-se de um conjunto de processos e estruturas com o objetivo de assegurar que a TI possa
suportar adequadamente os objetivos e estratgias de negcio da organizao, de modo a agregar
valor real ao negcio, balancear riscos e, acima de tudo, obter retorno sobre os investimentos
realizados em TI.
comum observar que empresas sem um bom modelo de governana de TI normalmente v ou
trata a organizao de TI como um centro de custos, em vez de como um parceiro para realizar a
estratgia do negcio.

Membros do Conselho de Administrao e Executivos das empresas so os responsveis pela


governana de TI.
Pra que serve?
O principal objetivo da governana de TI proporcionar o alinhamento da organizao da TI com
as necessidades do negcio, atuais e futuras, oferecendo assim melhores condies para a tomada
de deciso sobre os investimentos em tecnologia.
O alinhamento com a estratgia da organizao possibilita que a TI possa se posicionar de
maneira a agregar valor aos produtos e servios oferecidos pela empresa, auxilia no
posicionamento competitivo, assegura que os recursos sejam utilizados da melhor forma possvel,
o que naturalmente implica na reduo de custos e melhora da eficincia administrativa
(excelncia operacional).
Componentes e recursos
Componentes
do

COBIT

(cubo

do

COBIT)

Processos de TI

Agrupados em 4 domnios

- Monitorar e avaliar

Planejar
Adquirir
Entregar

e
e

organizar
implementar
suportar

- 34 processos e 21 objetivos de controle


Recursos de TI
- Pessoas (iternas ou terceirizadas)

Ampliaes
Informao
Infraestrutura

Critrios de informao / Requisitos de negcio

Indicadores
Outcome
measures (indicadores
de
resultado)
So os indicadores avaliados aps a execuo do processo. Indicam se o processo alcanou o
resultado esperado, considerando inclusive os critrios de informao.
Exemplo: na Frmula 1, aps o trmino de cada corrida normalmente se divulga a velocidade
mdia e o tempo total de prova, de modo a tornar possvel a comparao com corridas anteriores,
no mesmo circuito.
Performance
indicators (indicadores
de
performance)
So os indicadores avaliados durante a execuo do processo, de modo que seja possvel tomar
medidas corretivas para assegurar que este alcance seu resultado.

Exemplo: ainda na Frmula 1, so os indicadores que representam o tempo que o piloto demora
para percorrer cada parcial da pista, quanto tem de combustvel, qual a temperatura e presso de
leo do motor, velocidade mxima ao final da reta etc.
RACI e maturidade
Matriz
RACI
A matriz RACI, do acrnimo em ingls Responsible,Accountable, Consulted e Informed, determina
claramente qual o papel de cada envolvido com o processo, deixando claro as responsabilidades
de cada um.
Modelos
de
Maturidade
Os modelos de maturidade propostos pelo COBIT so derivados do mesmo conceito adotado no
CMM, e so uma maneira de classificar a maturidade da empresa em relao a um determinado
processo, fazer comparao com outras empresas no mercado (anlise de gap), de modo que
permite estabelecer planos de ao para alcanar a maturidade desejada, melhorando assim os
resultados da TI e dos negcios que dependem da TI.
Informaes
Diretrizes
de
auditoria
Trata-se de um guia passo-a-passo compilado para ajudar auditores externos ou internos a avaliar
a performance da organizao.
A estrutura para o processo de auditoria aceita no mercado normalmente compreende 4 estgios
principais:

Obteno do entendimento dos riscos

Avaliao do controles determinados

Avaliao de conformidade (por meio de testes)

Substanciao dos riscos (dos objetivos de controle no atingidos)

Prticas
de
Controle
Trata-se do como o do porque importante adotar prticas de controle na administrao,
baseados na anlise das operaes e riscos da TI.
Produtos
COBIT Online
COBIT Quickstart
Guia
de
COBIT Security
Val IT

do
implementao

de

COBIT
governana

de

TI
Baseline

Dica
Importante
Um ponto fundamental para decidir quais prticas de controle e governana de TI sero
estabelecidas a compreenso do risco e do custo de no fazer nada!
A equao da TI